Configurar conexões coexistentes de site a site e do ExpressRoute com o portal do Azure

• Azure portal
• PowerShell – Resource Manager
• PowerShell - clássico

Este artigo descreve como configurar as conexões VPN site a site e de ExpressRoute que coexistam. Configurar ambas as conexões tem várias vantagens, como fornecer um caminho de failover seguro ou conectar-se a sites não vinculados por meio do ExpressRoute. Este painel se aplica ao modelo de implantação do Resource Manager.

Vantagens das Conexões de Coexistência

• Caminho de Failover Seguro: Configure uma VPN Site a Site como backup para o ExpressRoute.
• Conectar a Sites Adicionais: Use VPNs Site a Site para se conectar a sites não conectados por meio do ExpressRoute.

As etapas para configurar as duas situações são cobertas neste artigo. Você pode configurar qualquer gateway primeiro, normalmente sem incorrer em tempo de inatividade ao adicionar um novo gateway ou conexão de gateway.

Observação

• Para criar uma VPN Site a Site em uma conexão ExpressRoute, consulte Site a site sobre emparelhamento Microsoft.
• Se você já tiver o ExpressRoute, não precisará criar uma rede virtual ou sub-rede de gateway, pois são pré-requisitos para a criação do ExpressRoute.
• Para o Gateway do ExpressRoute criptografado, o Clamping MSS (tamanho máximo do segmento) é feito no Gateway de VPN do Azure para limitar o tamanho do pacote TCP a 1.250 bytes.

Limites e Limitações

• Somente um gateway de VPN baseado em rota é compatível: Use um gateway de VPN baseado em rota. Você também pode usar um gateway de VPN baseado em rota com uma conexão VPN configurada para 'seletores de tráfego baseados em política', conforme descrito em Conectar a vários dispositivos VPN baseados em política.
• As configurações de coexistência do ExpressRoute-Gateway de VPN não têm suporte na SKU Básica.
• Comunicação BGP: Os gateways do ExpressRoute e VPN devem se comunicar por meio de BGP. Verifique se qualquer UDR na sub-rede de gateway não inclui uma rota para o próprio intervalo da sub-rede de gateway, pois isso interfere no tráfego BGP.
• Roteamento de Trânsito: Para roteamento de trânsito entre ExpressRoute e VPN, o ASN do Gateway de VPN do Azure deve ser definido como 65515. O Gateway de VPN do Azure dá suporte ao protocolo de roteamento BGP. Para funcionarem juntos, mantenha o ASN do gateway de VPN do Azure no valor padrão, 65515. Se você alterar o ASN para 65515, redefina o gateway de VPN para que a configuração entre em vigor.
• Tamanho da Sub-rede de Gateway: A sub-rede de gateway deve ser /27 ou um prefixo menor (como /26 ou /25), ou você receberá uma mensagem de erro ao adicionar o gateway de rede virtual do ExpressRoute.

Designs de Configuração

Configurar uma VPN Site a Site como Caminho de Failover para o ExpressRoute

Você pode configurar uma conexão VPN Site a Site como backup para o ExpressRoute. Essa configuração é aplicável apenas a redes virtuais vinculadas ao caminho de emparelhamento privado do Azure. Não há uma solução de failover com base em VPN para serviços acessíveis por meio de emparelhamentos da Microsoft no Azure. O circuito ExpressRoute continua sendo o link principal e os dados fluem pelo caminho da VPN Site a Site somente se o circuito ExpressRoute falhar. Para evitar roteamento assimétrico, configure sua rede local para preferir o circuito ExpressRoute em vez da VPN Site a Site definindo uma preferência local mais alta para as rotas recebidas por meio do ExpressRoute.

Observação

Se você habilitar o emparelhamento da Microsoft do ExpressRoute, você poderá receber o endereço IP público do gateway de VPN do Azure na conexão do ExpressRoute. Para configurar sua conexão VPN Site a Site como backup, configure sua rede local para que a conexão VPN seja roteada para a Internet.

Observação

Embora o circuito ExpressRoute seja preferido à VPN Site a Site quando ambas as rotas são iguais, o Azure usará a correspondência de prefixo mais longa para escolher a rota para o destino do pacote.

Configurar uma VPN Site a Site para Conectar a Sites Não Conectados Por Meio do ExpressRoute

Você pode configurar sua rede para que alguns sites se conectem diretamente ao Azure por meio de VPN Site a Site, enquanto outros se conectam por meio do ExpressRoute.

Selecionar as Etapas que Serão Usadas

Há dois conjuntos diferentes de procedimentos para escolher. O procedimento de configuração que você seleciona depende de você ter uma rede virtual existente à qual deseja se conectar ou se precisa criar uma nova rede virtual.

• Eu não tenho uma VNet e preciso criar uma.

  Se você ainda não tiver uma rede virtual, siga as etapas em Para criar uma nova rede virtual e conexões de coexistência para criar uma nova rede virtual usando o modelo de implantação do Resource Manager e configurar novas conexões ExpressRoute e VPN Site a Site.

• Já tenho uma VNet no modelo de implantação do Resource Manager.

  Se você já tiver uma rede virtual com uma conexão VPN Site a Site ou ExpressRoute existente e o prefixo da sub-rede de gateway for /28 ou maior (/29, /30 etc.), será necessário excluir o gateway existente. Siga as etapas em Para configurar conexões de coexistência para uma rede virtual já existente para excluir o gateway e criar novas conexões ExpressRoute e VPN Site a Site.

  Excluir e recriar o gateway resultará em tempo de inatividade para suas conexões entre locais. No entanto, suas VMs e serviços ainda poderão se comunicar por meio do balanceador de carga durante esse processo, se estiverem configurados para isso.

Para criar uma nova rede virtual e conexões coexistentes

Este procedimento orienta você na criação de uma rede virtual e na configuração de conexões de coexistência Site a Site e ExpressRoute.

1. Entre no portal do Azure.

2. No canto superior esquerdo da tela, selecione + Criar um recurso e pesquise Rede virtual.

3. Selecione Criar para começar a configurar a rede virtual.

   

4. Na guia Básico, selecione ou crie um grupo de recursos para armazenar a rede virtual. Insira o nome e selecione a região para implantar a rede virtual. Selecione Avançar: endereços IP > para configurar o espaço de endereço e as sub-redes.

   

5. Na guia Endereços IP, configure o espaço de endereço da rede virtual. Defina as sub-redes que você deseja criar, incluindo a sub-rede de gateway. Selecione Revisar + criar e, em seguida, Criar para implantar a rede virtual. Para saber mais sobre como criar uma rede virtual, confira Criar uma rede virtual. Para obter mais informações sobre como criar sub-redes, consulte Criar uma sub-rede.

   Importante

   A Sub-rede de Gateway deve ser /27 ou um prefixo mais curto (como /26 ou /25).

   

6. Crie o gateway VPN Site a Site e o gateway de rede local. Para obter mais informações sobre a configuração do gateway de VPN, consulte Configurar uma rede virtual com uma conexão Site a Site. O GatewaySku tem suporte para os gateway VPN em VpnGw1, VpnGw2, VpnGw3, Standard e HighPerformance. As configurações de gateway coexistentes do ExpressRoute e de VPN não têm suporte na SKU Básica. O VpnType deve ser RouteBased.

7. Configure seu dispositivo VPN local para conectar o novo gateway de VPN do Azure. Para obter mais informações sobre a configuração de dispositivo VPN, consulte Configuração do Dispositivo VPN.

8. Se você estiver se conectando a um circuito ExpressRoute existente, ignore as etapas 8 e 9 e vá para a etapa 10. Configurar circuitos do ExpressRoute. Para obter mais informações sobre como configurar um circuito ExpressRoute, consulte Criar um circuito ExpressRoute.

9. Configure o emparelhamento particular do Azure através do circuito de ExpressRoute. Para obter mais informações sobre como configurar o emparelhamento privado do Azure no circuito ExpressRoute, consulte Configurar emparelhamento.

10. Selecione + Criar um recurso e pesquise Gateway de rede virtual. Em seguida, selecione Criar.

11. Selecione o tipo de gateway ExpressRoute, a SKU apropriada e a rede virtual para implantar o gateway.

    

12. Vincule o gateway de ExpressRoute ao circuito de ExpressRoute. Após a conclusão desta etapa, a conexão entre a rede local e o Azure por meio do ExpressRoute será estabelecida. Para obter mais informações sobre a operação de vinculação, confira Vincular VNets à ExpressRoute.

Para configurar conexões coexistentes para uma rede virtual já existente

Se você tiver uma rede virtual com apenas um gateway de rede virtual (por exemplo, um gateway de VPN Site a Site) e quiser adicionar outro gateway de tipo diferente (por exemplo, um gateway ExpressRoute), verifique o tamanho da sub-rede do gateway. Se a sub-rede do gateway for /27 ou maior, ignore as etapas a seguir e realize as etapas da seção anterior para adicionar um gateway de VPN site a site ou um gateway do ExpressRoute. Se a sub-rede do gateway é /28 ou /29, você deve primeiro excluir o gateway da rede virtual e aumentar o tamanho de sub-rede do gateway. As etapas nesta seção mostram como fazer isso.

1. Exclua o gateway de ExpressRoute ou gateway de VPN Site a Site existente.

2. Exclua e recrie a GatewaySubnet com um prefixo de /27 ou menor.

3. Configure uma rede virtual com uma conexão Site a Site e, em seguida, Configure o gateway ExpressRoute.

4. Depois que o gateway do ExpressRoute for implantado, será possível vincular a rede virtual ao circuito do ExpressRoute.

Para adicionar a configuração de ponto a site ao gateway de VPN

Você pode adicionar uma configuração Ponto a Site ao seu conjunto de coexistência seguindo as instruções em Configurar conexão VPN Ponto a Site usando autenticação de certificado do Azure.

Para habilitar o roteamento de trânsito entre o ExpressRoute e a VPN do Azure

Se você quiser habilitar a conectividade entre uma de suas redes locais conectadas ao ExpressRoute e outra rede local conectada a uma conexão VPN Site a Site, será necessário configurar o Servidor de Rotas do Azure.

Próximas etapas

Para obter mais informações sobre o ExpressRoute, consulte Perguntas Frequentes sobre ExpressRoute.