Łączenie obwodu usługi ExpressRoute z siecią wirtualną

  • 5 min

Obwód ExpressRoute reprezentuje logiczne połączenie pomiędzy infrastrukturą lokalną a usługami w chmurze firmy Microsoft dostarczanymi przez dostawcę usług łączności. Można zamówić wiele obwodów ExpressRoute. Każdy obwód może znajdować się w tym samym regionie lub w różnych regionach i może być połączony z Twoją siedzibą za pośrednictwem różnych dostawców usług łączności. Obwody usługi ExpressRoute nie są mapowe na żadne jednostki fizyczne. Obwód używa standardowego identyfikatora GUID nazywanego kluczem usługi (s-key).

Łączenie sieci wirtualnej z obwodem usługi ExpressRoute

  • Musisz mieć aktywny obwód usługi ExpressRoute.
  • Upewnij się, że masz skonfigurowaną prywatną komunikację równorzędną platformy Azure dla obwodu.
  • Upewnij się, że prywatna komunikacja równorzędna platformy Azure jest skonfigurowana i ustanawia komunikację równorzędną BGP między siecią a firmą Microsoft na potrzeby kompleksowej łączności.
  • Upewnij się, że masz sieć wirtualną i bramę sieci wirtualnej utworzoną i w pełni aprowizowaną. Brama sieci wirtualnej dla usługi ExpressRoute używa wartości GatewayType "ExpressRoute", a nie sieci VPN.
  • Do standardowego obwodu usługi ExpressRoute można połączyć maksymalnie 10 sieci wirtualnych. Wszystkie sieci wirtualne muszą znajdować się w tym samym regionie geopolitycznym w przypadku korzystania ze standardowego obwodu usługi ExpressRoute.
  • Pojedyncza sieć wirtualna może być połączona z maksymalnie 16 obwodami usługi ExpressRoute. Obwody usługi ExpressRoute mogą znajdować się w tej samej subskrypcji, różnych subskrypcjach lub kombinacji obu.
  • Jeśli włączysz dodatek ExpressRoute Premium, możesz połączyć sieci wirtualne poza regionem geopolitycznym obwodu usługi ExpressRoute. Dodatek Premium umożliwia łączenie ponad 10 sieci wirtualnych z obwodem usługi ExpressRoute w zależności od wybranej przepustowości.
  • Aby utworzyć połączenie z obwodu usługi ExpressRoute do docelowej bramy sieci wirtualnej usługi ExpressRoute, liczba przestrzeni adresowych anonsowanych z lokalnych lub równorzędnych sieci wirtualnych musi być równa lub mniejsza niż 200. Po pomyślnym utworzeniu połączenia można dodać inne przestrzenie adresowe do 1000 do lokalnych lub równorzędnych sieci wirtualnych.

Dodawanie sieci VPN do wdrożenia usługi ExpressRoute

Ta sekcja ułatwia skonfigurowanie bezpiecznej szyfrowanej łączności między siecią lokalną a sieciami wirtualnymi platformy Azure za pośrednictwem połączenia prywatnego usługi ExpressRoute. Za pomocą komunikacji równorzędnej firmy Microsoft można ustanowić tunel vpn IPsec/IKE typu lokacja-lokacja między wybranymi sieciami lokalnymi i sieciami wirtualnymi platformy Azure. Skonfigurowanie bezpiecznego tunelu za pośrednictwem usługi ExpressRoute umożliwia wymianę danych z poufnością, antyodtwarzaniem, autentycznością i integralnością.

Uwaga

Podczas konfigurowania sieci VPN typu lokacja-lokacja za pośrednictwem komunikacji równorzędnej firmy Microsoft są naliczane opłaty za bramę sieci VPN i ruch wychodzący sieci VPN.

W celu zapewnienia wysokiej dostępności i nadmiarowości można skonfigurować wiele tuneli w dwóch parach MSEE-PE obwodu usługi ExpressRoute i włączyć równoważenie obciążenia między tunelami.

Tunele sieci VPN za pośrednictwem komunikacji równorzędnej firmy Microsoft można zakończyć za pomocą bramy sieci VPN lub za pomocą odpowiedniego wirtualnego urządzenia sieciowego dostępnego w witrynie Azure Marketplace. Trasy można wymieniać statycznie lub dynamicznie za pośrednictwem zaszyfrowanych tuneli bez uwidaczniania wymiany tras do bazowej komunikacji równorzędnej firmy Microsoft. W tej sekcji protokół BGP (różni się od sesji protokołu BGP używanej do tworzenia komunikacji równorzędnej firmy Microsoft) jest używany do dynamicznej wymiany prefiksów za pośrednictwem zaszyfrowanych tuneli.

Ważne

Po stronie lokalnej zazwyczaj komunikacja równorzędna firmy Microsoft jest przerywana w strefie DMZ, a prywatna komunikacja równorzędna jest przerywana w podstawowej strefie sieciowej. Dwie strefy byłyby segregowane przy użyciu zapór. Jeśli konfigurujesz komunikację równorzędną firmy Microsoft wyłącznie pod kątem włączania bezpiecznego tunelowania za pośrednictwem usługi ExpressRoute, pamiętaj, aby filtrować tylko publiczne adresy IP, które są reklamowane za pośrednictwem komunikacji równorzędnej firmy Microsoft.

Kroki

  • Skonfiguruj komunikację równorzędną firmy Microsoft dla obwodu usługi ExpressRoute.
  • Anonsuj wybrane regionalne prefiksy publiczne platformy Azure do sieci lokalnej za pośrednictwem komunikacji równorzędnej firmy Microsoft.
  • Konfigurowanie bramy sieci VPN i ustanawianie tuneli IPsec
  • Skonfiguruj lokalne urządzenie sieci VPN.
  • Utwórz połączenie IPsec/IKE typu lokacja-lokacja.
  • (Opcjonalnie) Skonfiguruj zapory/filtrowanie na lokalnym urządzeniu sieci VPN.
  • Przetestuj i zweryfikuj komunikację IPsec za pośrednictwem obwodu usługi ExpressRoute.