Konfigurowanie współistniejących połączeń usługi ExpressRoute i połączenia typu lokacja-lokacja przy użyciu witryny Azure Portal

• Witryna Azure Portal
• Program PowerShell — model usługi Resource Manager
• PowerShell — model klasyczny

Ten artykuł pomaga skonfigurować współistniejące połączenia usługi ExpressRoute i połączenia sieci VPN typu lokacja-lokacja. Konfigurowanie obu połączeń ma kilka zalet, takich jak zapewnienie bezpiecznej ścieżki trybu failover lub nawiązywanie połączenia z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute. Ten przewodnik dotyczy modelu wdrażania przy użyciu usługi Resource Manager.

Zalety współistniejących połączeń

• Bezpieczna ścieżka trybu failover: skonfiguruj sieć VPN typu lokacja-lokacja jako kopię zapasową usługi ExpressRoute.
• Połącz się z dodatkowymi lokacjami: użyj sieci VPN typu lokacja-lokacja, aby połączyć się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute.

Ten artykuł zawiera instrukcje konfiguracji obu scenariuszy. Bramę można najpierw skonfigurować bez ponoszenia przestojów podczas dodawania nowej bramy lub połączenia bramy.

Uwaga

• Aby utworzyć sieć VPN typu lokacja-lokacja za pośrednictwem połączenia usługi ExpressRoute, zobacz Lokacja-lokacja za pośrednictwem komunikacji równorzędnej firmy Microsoft.
• Jeśli masz już usługę ExpressRoute, nie musisz tworzyć sieci wirtualnej ani podsieci bramy, ponieważ są to wymagania wstępne dotyczące tworzenia usługi ExpressRoute.
• W przypadku zaszyfrowanej bramy usługi ExpressRoute zaciskanie msS (maksymalny rozmiar segmentu) odbywa się za pośrednictwem usługi Azure VPN Gateway w celu zaciskania rozmiaru pakietów TCP o 1250 bajtach.

Limity i ograniczenia

• Obsługiwana jest tylko brama sieci VPN oparta na trasach: użyj bramy sieci VPN opartej na trasach. Możesz również użyć bramy sieci VPN opartej na trasach z połączeniem sieci VPN skonfigurowanym dla selektorów ruchu opartego na zasadach, zgodnie z opisem w artykule Łączenie z wieloma urządzeniami sieci VPN opartymi na zasadach.
• Współistnienie konfiguracji usługi ExpressRoute-VPN Gateway nie jest obsługiwane w podstawowej jednostce SKU.
• Komunikacja BGP: zarówno bramy usługi ExpressRoute, jak i bramy sieci VPN muszą komunikować się za pośrednictwem protokołu BGP. Upewnij się, że każda trasa zdefiniowana przez użytkownika w podsieci bramy nie zawiera trasy dla samego zakresu podsieci bramy, ponieważ zakłóca to ruch BGP.
• Routing tranzytowy: w przypadku routingu tranzytowego między usługą ExpressRoute i siecią VPN numer ASN usługi Azure VPN Gateway musi być ustawiony na wartość 65515. Usługa Azure VPN Gateway obsługuje protokół routingu BGP. Aby współpracować, zachowaj numer ASN bramy sieci VPN platformy Azure z wartością domyślną 65515. Jeśli zmienisz numer ASN na 65515, zresetuj bramę sieci VPN, aby ustawienie miało zastosowanie.
• Rozmiar podsieci bramy: podsieć bramy musi być /27 lub krótszym prefiksem (takim jak /26 lub /25) albo podczas dodawania bramy sieci wirtualnej usługi ExpressRoute zostanie wyświetlony komunikat o błędzie.

Projekty konfiguracji

Konfigurowanie sieci VPN typu lokacja-lokacja jako ścieżki trybu failover dla usługi ExpressRoute

Połączenie sieci VPN typu lokacja-lokacja można skonfigurować jako kopię zapasową usługi ExpressRoute. Ta konfiguracja ma zastosowanie tylko do sieci wirtualnych połączonych ze ścieżką prywatnej komunikacji równorzędnej platformy Azure. Nie ma rozwiązania trybu failover opartego na sieci VPN dla usług dostępnych za pośrednictwem komunikacji równorzędnej azure firmy Microsoft. Obwód usługi ExpressRoute pozostaje podstawowym linkiem, a dane przepływa przez ścieżkę sieci VPN typu lokacja-lokacja tylko wtedy, gdy obwód usługi ExpressRoute ulegnie awarii. Aby uniknąć routingu asymetrycznego, skonfiguruj sieć lokalną, aby preferować obwód usługi ExpressRoute za pośrednictwem sieci VPN typu lokacja-lokacja, ustawiając wyższą preferencję lokalną dla tras odebranych za pośrednictwem usługi ExpressRoute.

Uwaga

Jeśli włączono komunikację równorzędną firmy Microsoft usługi ExpressRoute, możesz otrzymać publiczny adres IP bramy sieci VPN platformy Azure w połączeniu usługi ExpressRoute. Aby skonfigurować połączenie sieci VPN typu lokacja-lokacja jako kopię zapasową, skonfiguruj sieć lokalną tak, aby połączenie sieci VPN było kierowane do Internetu.

Uwaga

Chociaż obwód usługi ExpressRoute jest preferowany za pośrednictwem sieci VPN typu lokacja-lokacja, gdy obie trasy są takie same, platforma Azure użyje najdłuższego dopasowania prefiksu, aby wybrać trasę do miejsca docelowego pakietu.

Konfigurowanie sieci VPN typu lokacja-lokacja do łączenia się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute

Sieć można skonfigurować tak, aby niektóre lokacje łączyły się bezpośrednio z platformą Azure za pośrednictwem sieci VPN typu lokacja-lokacja, podczas gdy inne łączą się za pośrednictwem usługi ExpressRoute.

Wybieranie kroków do użycia

Istnieją dwa różne zestawy procedur do wyboru. Wybrana procedura konfiguracji zależy od tego, czy masz istniejącą sieć wirtualną, z którą chcesz nawiązać połączenie, czy też chcesz utworzyć nową sieć wirtualną.

• Nie mam sieci wirtualnej i muszę je utworzyć.

  Jeśli nie masz jeszcze sieci wirtualnej, wykonaj kroki opisane w temacie Aby utworzyć nową sieć wirtualną i współistniejące połączenia, aby utworzyć nową sieć wirtualną przy użyciu modelu wdrażania usługi Resource Manager i skonfigurować nowe połączenia usługi ExpressRoute i sieci VPN typu lokacja-lokacja.

• Mam już sieć wirtualną modelu wdrażania usługi Resource Manager.

  Jeśli masz już sieć wirtualną z istniejącym połączeniem sieci VPN typu lokacja-lokacja lub połączeniem usługi ExpressRoute, a prefiks podsieci bramy to /28 lub dłużej (/29, /30 itp.), musisz usunąć istniejącą bramę. Wykonaj kroki opisane w temacie Aby skonfigurować współistniejące połączenia dla istniejącej sieci wirtualnej, aby usunąć bramę i utworzyć nowe połączenia usługi ExpressRoute i sieci VPN typu lokacja-lokacja.

  Usunięcie i ponowne utworzenie bramy spowoduje przestój połączeń obejmujących wiele lokalizacji. Jednak maszyny wirtualne i usługi mogą nadal komunikować się za pośrednictwem modułu równoważenia obciążenia podczas tego procesu, jeśli zostały skonfigurowane do tego celu.

Aby utworzyć nową sieć wirtualną i współistniejące połączenia

Ta procedura przeprowadzi Cię przez proces tworzenia sieci wirtualnej i konfigurowania współistniejących połączeń typu lokacja-lokacja i usługi ExpressRoute.

1. Zaloguj się w witrynie Azure Portal.

2. W lewym górnym rogu ekranu wybierz pozycję + Utwórz zasób i wyszukaj pozycję Sieć wirtualna.

3. Wybierz pozycję Utwórz , aby rozpocząć konfigurowanie sieci wirtualnej.

   

4. Na karcie Podstawy wybierz lub utwórz nową grupę zasobów do przechowywania sieci wirtualnej. Wprowadź nazwę i wybierz region, w którym chcesz wdrożyć sieć wirtualną. Wybierz pozycję Dalej: adresy > IP, aby skonfigurować przestrzeń adresową i podsieci.

   

5. Na karcie Adresy IP skonfiguruj przestrzeń adresową sieci wirtualnej. Zdefiniuj podsieci, które chcesz utworzyć, w tym podsieć bramy. Wybierz pozycję Przejrzyj i utwórz, a następnie pozycję Utwórz , aby wdrożyć sieć wirtualną. Aby uzyskać więcej informacji na temat tworzenia sieci wirtualnej, zobacz Create a virtual network (Tworzenie sieci wirtualnej). Aby uzyskać więcej informacji na temat tworzenia podsieci, zobacz Tworzenie podsieci.

   Ważne

   Wartość podsieci bramy musi wynosić /27; prefiks może też być krótszy (np. /26 lub /25).

   

6. Utwórz bramę sieci VPN typu lokacja-lokacja i bramę sieci lokalnej. Aby uzyskać więcej informacji na temat konfiguracji bramy sieci VPN, zobacz Konfigurowanie sieci wirtualnej przy użyciu połączenia lokacja-lokacja. Element GatewaySku jest obsługiwany tylko na bramach sieci VPN VpnGw1, VpnGw2, VpnGw3, Standard i HighPerformance. Współistnienie konfiguracji usługi ExpressRoute-VPN Gateway nie jest obsługiwane w jednostce SKU w warstwie Podstawowa. Parametr VpnType musi mieć wartość RouteBased.

7. Skonfiguruj lokalne urządzenie sieci VPN do połączenia z nową bramą sieci VPN Azure. Więcej informacji na temat konfigurowania urządzenia VPN znajduje się w artykule VPN Device Configuration (Konfigurowanie urządzenia VPN).

8. Jeśli łączysz się z istniejącym obwodem usługi ExpressRoute, pomiń kroki 8 i 9 i przejdź do kroku 10. Skonfiguruj obwody usługi ExpressRoute. Aby uzyskać więcej informacji na temat konfigurowania obwodu usługi ExpressRoute, zobacz Tworzenie obwodu usługi ExpressRoute.

9. Skonfiguruj prywatną komunikację równorzędną na platformie Azure za pośrednictwem obwodu usługi ExpressRoute. Aby uzyskać więcej informacji na temat konfigurowania prywatnej komunikacji równorzędnej platformy Azure za pośrednictwem obwodu usługi ExpressRoute, zobacz Konfigurowanie komunikacji równorzędnej.

10. Wybierz pozycję + Utwórz zasób i wyszukaj pozycję Brama sieci wirtualnej. Następnie wybierz Utwórz.

11. Wybierz typ bramy usługi ExpressRoute, odpowiednią jednostkę SKU i sieć wirtualną do wdrożenia bramy.

    

12. Połącz bramę usługi ExpressRoute z obwodem usługi ExpressRoute. Po zakończeniu tego kroku zostanie nawiązane połączenie między siecią lokalną a platformą Azure za pośrednictwem usługi ExpressRoute. Więcej informacji na temat operacji łączenia znajduje się w artykule Link VNets to ExpressRoute (Łączenie sieci wirtualnych z usługą ExpressRoute).

Aby skonfigurować współistniejące połączenia dla istniejącej sieci wirtualnej

Jeśli masz sieć wirtualną z tylko jedną bramą sieci wirtualnej (na przykład bramą sieci VPN typu lokacja-lokacja) i chcesz dodać inną bramę innego typu (na przykład bramę usługi ExpressRoute), sprawdź rozmiar podsieci bramy. Jeśli podsieć bramy jest /27 lub większa, możesz pominąć poniższe kroki i wykonać kroki opisane w poprzedniej sekcji, aby dodać bramę sieci VPN typu lokacja-lokacja lub bramę usługi ExpressRoute. Jeśli podsieć bramy ma wartość /28 lub /29, musisz najpierw usunąć bramę sieci wirtualnej i zwiększyć rozmiar podsieci bramy. W krokach w tej sekcji pokazano, jak to zrobić.

1. Usuń istniejącą bramę usługi ExpressRoute lub sieci VPN typu lokacja-lokacja.

2. Usuń i utwórz ponownie podsieć GatewaySubnet z prefiksem /27 lub krótszym.

3. Skonfiguruj sieć wirtualną przy użyciu połączenia lokacja-lokacja, a następnie skonfiguruj bramę usługi ExpressRoute.

4. Po wdrożeniu bramy usługi ExpressRoute możesz połączyć sieć wirtualną z obwodem usługi ExpressRoute.

Aby dodać konfigurację typu punkt-lokacja do bramy sieci VPN

Konfigurację punkt-lokacja można dodać do współistniejącego zestawu, postępując zgodnie z instrukcjami w temacie Konfigurowanie połączenia sieci VPN typu punkt-lokacja przy użyciu uwierzytelniania certyfikatu platformy Azure.

Aby włączyć routing tranzytowy między usługą ExpressRoute i siecią VPN platformy Azure

Jeśli chcesz włączyć łączność między jedną z sieci lokalnych połączonych z usługą ExpressRoute i inną siecią lokalną połączoną z połączeniem sieci VPN typu lokacja-lokacja, musisz skonfigurować usługę Azure Route Server.

Następne kroki

Więcej informacji na temat usługi ExpressRoute znajduje się w artykule ExpressRoute FAQ (Usługa ExpressRoute — często zadawane pytania).