Conectar o Azure Stack Hub ao Azure usando o Azure ExpressRoute
Este artigo descreve como conectar uma rede virtual do Azure Stack Hub a uma rede virtual do Azure usando uma conexão direta do Microsoft Azure ExpressRoute .
Você pode usar este artigo como um tutorial e usar os exemplos para configurar o mesmo ambiente de teste. Ou você pode ler o artigo como um passo a passo que o orienta na configuração de seu próprio ambiente do ExpressRoute.
Visão geral, suposições e pré-requisitos
O Azure ExpressRoute permite estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada fornecida por um provedor de conectividade. O ExpressRoute não é uma conexão VPN pela Internet pública.
Para obter mais informações sobre o Azure ExpressRoute, consulte a visão geral do ExpressRoute.
Pressuposições
Este artigo supõe que:
- Você tem um conhecimento prático do Azure.
- Você tem uma compreensão básica do Azure Stack Hub.
- Você tem um conhecimento básico de rede.
Pré-requisitos
Para conectar o Azure Stack Hub e o Azure usando o ExpressRoute, você deve atender aos seguintes requisitos:
- Um circuito do ExpressRoute provisionado por meio de um provedor de conectividade.
- Uma assinatura do Azure para criar um circuito do ExpressRoute e VNets no Azure.
- Um roteador que deve:
- Suporte a conexões VPN site a site entre sua interface LAN e o gateway multilocatário do Azure Stack Hub.
- Suporte à criação de vários VRFs (Roteamento e Encaminhamento Virtual) se houver mais de um locatário em sua implantação do Azure Stack Hub.
- Um roteador que tenha:
- Uma porta WAN conectada ao circuito do ExpressRoute.
- Uma porta LAN conectada ao gateway multilocatário do Azure Stack Hub.
Arquitetura de rede do ExpressRoute
A figura a seguir mostra os ambientes do Azure Stack Hub e do Azure depois que você concluir a configuração do ExpressRoute usando os exemplos neste artigo:
A figura a seguir mostra como vários locatários se conectam da infraestrutura do Azure Stack Hub por meio do roteador do ExpressRoute para o Azure:
O exemplo neste artigo usa a mesma arquitetura multilocatário mostrada neste diagrama para conectar o Azure Stack Hub ao Azure usando o emparelhamento privado do ExpressRoute. A conexão é feita usando uma conexão VPN site a site do gateway de rede virtual no Azure Stack Hub para um roteador do ExpressRoute.
As etapas neste artigo mostram como criar uma conexão de ponta a ponta entre duas VNets de dois locatários diferentes no Azure Stack Hub para as VNets correspondentes no Azure. A configuração de dois locatários é opcional; Você também pode usar essas etapas para um único locatário.
Configurar o Azure Stack Hub
Para configurar o ambiente do Azure Stack Hub para o primeiro locatário, use as etapas a seguir como guia. Se você estiver configurando mais de um locatário, repita estas etapas:
Observação
Estas etapas mostram como criar recursos usando o portal do Azure Stack Hub, mas você também pode usar o PowerShell.
Antes de começar
Antes de começar a configurar o Azure Stack Hub, você precisa:
- Uma implantação do Azure Stack Hub.
- Uma oferta no Azure Stack Hub que seus usuários podem assinar. Para obter mais informações, consulte Visão geral do serviço, plano, oferta e assinatura.
Criar recursos de rede no Azure Stack Hub
Use os procedimentos a seguir para criar os recursos de rede necessários no Azure Stack Hub para um locatário.
Criar a rede virtual e sub-rede de VM
Entre no portal do usuário do Azure Stack Hub.
No portal, selecione + Criar um recurso.
Em Azure Marketplace, selecione Rede.
Em Destaque, selecione Rede virtual.
Em Criar rede virtual, insira os valores mostrados na tabela a seguir nos campos apropriados:
Campo Valor Nome Locatário1VNet1 Espaço de endereço 10.1.0.0/16 Nome da sub-rede Inquilino1-Sub1 Intervalo de endereços da sub-rede 10.1.1.0/24 Você deve ver a assinatura criada anteriormente preenchida no campo Assinatura . Para os campos restantes:
- Em Grupo de recursos, selecione Criar novo para criar um novo grupo de recursos ou, se você já tiver um, selecione Usar existente.
- Verifique o local padrão.
- Clique em Criar.
- (Opcional) Clique em Fixar no painel.
Criar a sub-rede de gateway
- Em Rede virtual, selecione Tenant1VNet1.
- Em CONFIGURAÇÕES, selecione Sub-redes.
- Selecione + Sub-rede de gateway para adicionar uma sub-rede de gateway à rede virtual.
- O nome da sub-rede é definido como Sub-rede de Gateway por padrão. As sub-redes de gateway são um caso especial e devem usar esse nome para funcionar corretamente.
- Verifique se o intervalo de endereços é 10.1.0.0/24.
- Clique em OK para criar a sub-rede de gateway.
Criar o gateway de rede virtual
- No portal do usuário do Azure Stack Hub, clique em + Criar um recurso.
- Em Azure Marketplace, selecione Rede.
- Selecione Gateway de Rede Virtual na lista de recursos de rede.
- No campo Nome, insira GW1.
- Selecione Rede virtual.
- Selecione Tenant1VNet1 na lista suspensa.
- Selecione Endereço IP público, escolha endereço IP público e clique em Criar novo.
- No campo Nome, digite GW1-PiP e clique em OK.
- O Tipo de VPN deve ter Baseado em rota selecionado por padrão. Mantenha essa configuração.
- Verifique se Assinatura e Local estão corretos. Clique em Criar.
Criar o gateway de rede local
O recurso de gateway de rede local identifica o gateway remoto na outra extremidade da conexão VPN. Para este exemplo, a extremidade remota da conexão é a subinterface de LAN do roteador ExpressRoute. Para o Locatário 1 no diagrama anterior, o endereço remoto é 10.60.3.255.
Entre no portal do usuário do Azure Stack Hub e selecione + Criar um recurso.
Em Azure Marketplace, selecione Rede.
Selecione gateway de rede local na lista de recursos.
No campo Nome, digite ER-Router-GW.
Para o campo de endereço IP, consulte a figura anterior. O endereço IP da subinterface LAN do roteador ExpressRoute para o Locatário 1 é 10.60.3.255. Para seu próprio ambiente, digite o endereço IP da interface correspondente do seu roteador.
No campo Espaço de Endereço, insira o espaço de endereço das VNets às quais você deseja se conectar no Azure. As sub-redes do Locatário 1 são as seguintes:
- 192.168.2.0/24 é a VNet do hub no Azure.
- 10.100.0.0/16 é a VNet spoke no Azure.
Importante
Este exemplo pressupõe que você esteja usando rotas estáticas para a conexão VPN site a site entre o gateway do Azure Stack Hub e o roteador do ExpressRoute.
Verifique se sua Assinatura, Grupo de Recursos e Local estão corretos. Em seguida, selecione Criar.
Criar a conexão
- No portal do usuário do Azure Stack Hub, selecione + Criar um recurso.
- Em Azure Marketplace, selecione Rede.
- Selecione Conexão na lista de recursos.
- Em Noções básicas, escolha IPSec (Site a Site) como o Tipo de conexão.
- Selecione a Assinatura, o Grupo de recursos e o Local. Clique em OK.
- Em Configurações, selecione Gateway de rede virtual e, em seguida, selecione GW1.
- Selecione Gateway de rede local e, em seguida, selecione Roteador ER GW.
- No campo Nome da conexão , insira ConnectToAzure.
- No campo Chave compartilhada (PSK), insira abc123 e selecione OK.
- Em Resumo, selecione OK.
Obter o endereço IP público do gateway de rede virtual
Depois de criar o gateway de rede virtual, você pode obter o endereço IP público do gateway. Anote esse endereço caso precise dele posteriormente para sua implantação. Dependendo da sua implantação, esse endereço é usado como o endereço IP interno.
- No portal do usuário do Azure Stack Hub, selecione Todos os recursos.
- Em Todos os recursos, selecione o gateway de rede virtual, que é GW1 no exemplo.
- Em Gateway de rede virtual, selecione Visão geral na lista de recursos. Como alternativa, você pode selecionar Propriedades.
- O endereço IP que você deseja anotar está listado em Endereço IP público. Para a configuração de exemplo, esse endereço é 192.68.102.1.
Criar uma VM (máquina virtual)
Para testar o tráfego de dados pela conexão VPN, você precisa que as VMs enviem e recebam dados na VNet do Azure Stack Hub. Crie uma VM e implante-a na sub-rede da VM para sua rede virtual.
No portal do usuário do Azure Stack Hub, selecione + Criar um recurso.
Em Azure Marketplace, selecione Computação.
Na lista de imagens de VM, selecione a imagem de Avaliação do Datacenter do Windows Server 2016.
Observação
Se a imagem usada para este artigo não estiver disponível, peça ao operador do Azure Stack Hub para fornecer uma imagem diferente do Windows Server.
Em Criar máquina virtual, selecione Noções básicas e digite VM01 como o Nome.
Digite um nome de usuário e senha válidos. Você usará essa conta para entrar na VM depois que ela for criada.
Forneça uma Assinatura, um Grupo de recursos e um Local. Selecione OK.
Em Escolher um tamanho, selecione um tamanho de VM para esta instância e, em seguida, selecione Selecionar.
Em Configurações, confirme se:
- A rede virtual é Tenant1VNet1.
- A sub-rede é definida como 10.1.1.0/24.
Use as configurações padrão e clique em OK.
Em Resumo, examine a configuração da VM e clique em OK.
Para adicionar mais locatários, repita as etapas seguidas nestas seções:
- Criar a rede virtual e a sub-rede da VM
- Criar a sub-rede do gateway
- Criar o gateway de rede virtual
- Criar o gateway de rede local
- Crie a conexão
- Criar uma máquina virtual
Se você estiver usando o Locatário 2 como exemplo, lembre-se de alterar os endereços IP para evitar sobreposições.
Configurar a VM NAT para passagem de gateway
Importante
Esta seção é apenas para implantações do ASDK. O NAT não é necessário para implantações de vários nós.
O ASDK é independente e isolado da rede em que o host físico é implantado. A rede VIP à qual os gateways estão conectados não é externa; ele está escondido atrás de um roteador que executa a conversão de endereços de rede (NAT).
O roteador é o host ASDK que executa a função RRAS (Serviços de Roteamento e Acesso Remoto). Você deve configurar o NAT no host ASDK para permitir que a conexão VPN site a site se conecte em ambas as extremidades.
Configurar o NAT
Entre no computador host do Azure Stack Hub com sua conta de administrador.
Execute o script em um ISE do PowerShell com privilégios elevados. Esse script retorna seu endereço BGPNAT externo.
Get-NetNatExternalAddress
Para configurar o NAT, copie e edite o script do PowerShell a seguir. Edite o script para substituir o
External BGPNAT address
eInternal IP address
pelos seguintes valores de exemplo:- Para endereço BGPNAT externo, use 10.10.0.62
- Para endereço IP interno, use 192.168.102.1
Execute o seguinte script de um ISE do PowerShell com privilégios elevados:
$ExtBgpNat = 'External BGPNAT address' $IntBgpNat = 'Internal IP address' # Designate the external NAT address for the ports that use the IKE authentication. Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 499 ` -PortEnd 501 Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 4499 ` -PortEnd 4501 # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 500 ` -InternalPort 500 # Configure NAT traversal which uses port 4500 to establish the complete IPSEC tunnel over NAT devices. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 4500 ` -InternalPort 4500
Configurar o Azure
Depois de concluir a configuração do Azure Stack Hub, você pode implantar os recursos do Azure. A figura a seguir mostra um exemplo de uma rede virtual de locatário no Azure. Você pode usar qualquer nome e esquema de endereçamento para sua VNet no Azure. No entanto, o intervalo de endereços das VNets no Azure e no Azure Stack Hub deve ser exclusivo e não deve se sobrepor:
Os recursos implantados no Azure são semelhantes aos recursos implantados no Azure Stack Hub. Você implanta os seguintes componentes:
- Redes virtuais e sub-redes
- Uma sub-rede de gateway
- Um gateway de rede virtual
- Uma conexão
- Um circuito do ExpressRoute
O exemplo de infraestrutura de rede do Azure é configurado da seguinte maneira:
- Um modelo VNet de hub padrão (192.168.2.0/24) e spoke (10.100.0.0./16). Para obter mais informações sobre a topologia de rede hub-spoke, consulte Implementar uma topologia de rede hub-spoke no Azure.
- As cargas de trabalho são implantadas na VNet spoke e o circuito do ExpressRoute é conectado à VNet do hub.
- As duas VNets são conectadas usando o emparelhamento VNet.
Configurar as VNets do Azure
- Entre no portal do Azure com suas credenciais do Azure.
- Crie a VNet do hub usando o intervalo de endereços 192.168.2.0/24.
- Crie uma sub-rede usando o intervalo de endereços 192.168.2.0/25 e adicione uma sub-rede de gateway usando o intervalo de endereços 192.168.2.128/27.
- Crie a VNet spoke e a sub-rede usando o intervalo de endereços 10.100.0.0/16.
Para obter mais informações sobre como criar redes virtuais no Azure, consulte Criar uma rede virtual.
Configurar um circuito do ExpressRoute
Examine os pré-requisitos do ExpressRoute na lista de verificação e pré-requisitos do ExpressRoute.
Siga as etapas em Criar e modificar um circuito do ExpressRoute para criar um circuito do ExpressRoute usando sua assinatura do Azure.
Observação
Forneça a chave de serviço do circuito ao serviço para que eles possam configurar o circuito do ExpressRoute no final.
Siga as etapas em Criar e modificar o emparelhamento para um circuito do ExpressRoute para configurar o emparelhamento privado no circuito do ExpressRoute.
Criar o gateway de rede virtual
Siga as etapas em Configurar um gateway de rede virtual para o ExpressRoute usando o PowerShell para criar um gateway de rede virtual para o ExpressRoute na VNet do hub.
Criar a conexão
Para vincular o circuito do ExpressRoute à VNet do hub, siga as etapas em Conectar uma rede virtual a um circuito do ExpressRoute.
Emparelhar as redes virtuais
Emparelhe as VNets hub e spoke usando as etapas em Criar um emparelhamento de rede virtual usando o portal do Azure. Ao configurar o emparelhamento VNet, certifique-se de usar as seguintes opções:
- Do hub para o spoke, Permitir trânsito de gateway.
- Do spoke para o hub, use o gateway remoto.
Criar uma máquina virtual
Implante suas VMs de carga de trabalho na VNet spoke.
Repita essas etapas para todas as VNets de locatário adicionais que você deseja conectar no Azure por meio de seus respectivos circuitos do ExpressRoute.
Configurar o roteador
Você pode usar o diagrama de configuração do roteador do ExpressRoute a seguir como um guia para configurar o roteador do ExpressRoute. Esta figura mostra dois locatários (Locatário 1 e Locatário 2) com seus respectivos circuitos do ExpressRoute. Cada locatário está vinculado ao seu próprio VRF (Roteamento e Encaminhamento Virtual) no lado da LAN e da WAN do roteador do ExpressRoute. Essa configuração garante o isolamento de ponta a ponta entre os dois locatários. Anote os endereços IP usados nas interfaces do roteador ao seguir o exemplo de configuração.
Você pode usar qualquer roteador que dê suporte a VPN IKEv2 e BGP para encerrar a conexão VPN site a site do Azure Stack Hub. O mesmo roteador é usado para se conectar ao Azure usando um circuito do ExpressRoute.
O exemplo de configuração do roteador de serviços de agregação Cisco ASR 1000 Series a seguir oferece suporte à infraestrutura de rede mostrada no diagrama de configuração do roteador ExpressRoute.
ip vrf Tenant 1
description Routing Domain for PRIVATE peering to Azure for Tenant 1
rd 1:1
!
ip vrf Tenant 2
description Routing Domain for PRIVATE peering to Azure for Tenant 2
rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
integrity sha256
group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
match fvrf Tenant 2
match address local 10.60.3.251
proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
match fvrf Tenant 2
match address local 10.60.3.251
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
mode tunnel
!
crypto ipsec profile V2-PROFILE
set transform-set V2-TRANSFORM2
set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
set transform-set V4-TRANSFORM2
set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
ip vrf forwarding Tenant 1
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.211
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf Tenant 1
tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
ip vrf forwarding Tenant 2
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.213
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf VNET3
tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
description PRIMARY ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
description PRIMARY ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
description PRIMARY ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
description BACKUP ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
description BACKUP ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
description Downlink to ---Port 1/47
no ip address
!
interface TenGigabitEthernet0/1/0.211
description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
encapsulation dot1Q 211
ip vrf forwarding Tenant 1
ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
description Downlink to --- Port 1/47.213
encapsulation dot1Q 213
ip vrf forwarding Tenant 2
ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
bgp router-id <removed>
bgp log-neighbor-changes
description BGP neighbor config and route advertisement for Tenant 1 VRF
address-family ipv4 vrf Tenant 1
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.254 mask 255.255.255.254
network 192.168.1.0 mask 255.255.255.252
network 192.168.1.4 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65100
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.254 remote-as 4232570301
neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.254 activate
neighbor 10.60.3.254 route-map BLOCK-ALL out
neighbor 192.168.1.2 remote-as 12076
neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
neighbor 192.168.1.2 ebgp-multihop 5
neighbor 192.168.1.2 activate
neighbor 192.168.1.2 soft-reconfiguration inbound
neighbor 192.168.1.2 route-map Tenant 1-ONLY out
neighbor 192.168.1.6 remote-as 12076
neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
neighbor 192.168.1.6 ebgp-multihop 5
neighbor 192.168.1.6 activate
neighbor 192.168.1.6 soft-reconfiguration inbound
neighbor 192.168.1.6 route-map Tenant 1-ONLY out
maximum-paths 8
exit-address-family
!
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.250 mask 255.255.255.254
network 192.168.1.16 mask 255.255.255.252
network 192.168.1.20 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65300
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.250 remote-as 4232570301
neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.250 activate
neighbor 10.60.3.250 route-map BLOCK-ALL out
neighbor 192.168.1.18 remote-as 12076
neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
neighbor 192.168.1.18 ebgp-multihop 5
neighbor 192.168.1.18 activate
neighbor 192.168.1.18 soft-reconfiguration inbound
neighbor 192.168.1.18 route-map VNET-ONLY out
neighbor 192.168.1.22 remote-as 12076
neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
neighbor 192.168.1.22 ebgp-multihop 5
neighbor 192.168.1.22 activate
neighbor 192.168.1.22 soft-reconfiguration inbound
neighbor 192.168.1.22 route-map VNET-ONLY out
maximum-paths 8
exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
match as-path 1
!
Testar a conexão
Teste sua conexão depois de estabelecer a conexão site a site e o circuito do ExpressRoute.
Execute os seguintes testes de ping:
- Entre em uma das VMs em sua VNet do Azure e execute ping na VM que você criou no Azure Stack Hub.
- Entre em uma das VMs que você criou no Azure Stack Hub e execute ping na VM criada na VNet do Azure.
Observação
Para garantir que você esteja enviando tráfego pelas conexões site a site e ExpressRoute, você deve executar ping no endereço IP dedicado (DIP) da VM em ambas as extremidades e não no endereço VIP da VM.
Permitir a entrada do ICMP através do firewall
Por padrão, o Windows Server 2016 não permite pacotes ICMP de entrada por meio do firewall. Para cada VM usada para testes de ping, você deve permitir pacotes ICMP de entrada. Para criar uma regra de firewall para ICMP, execute o seguinte cmdlet em uma janela do PowerShell com privilégios elevados:
# Create ICMP firewall rule.
New-NetFirewallRule `
-DisplayName "Allow ICMPv4-In" `
-Protocol ICMPv4
Executar ping na VM do Azure Stack Hub
Entre no portal do usuário do Azure Stack Hub.
Localize a VM que você criou e selecione-a.
Selecione Conectar.
Em um prompt de comando do Windows ou do PowerShell com privilégios elevados, insira ipconfig /all. Observe o endereço IPv4 retornado na saída.
Faça ping no endereço IPv4 da VM na VNet do Azure.
No ambiente de exemplo, o endereço IPv4 é da sub-rede 10.1.1.x/24. Em seu ambiente, o endereço pode ser diferente, mas deve estar na sub-rede que você criou para a sub-rede VNet do locatário.
Exibir estatísticas de transferência de dados
Se você quiser saber quanto tráfego está passando por sua conexão, poderá encontrar essas informações no portal do usuário do Azure Stack Hub. Exibir estatísticas de transferência de dados também é uma boa maneira de descobrir se os dados de teste de ping passaram ou não pelas conexões VPN e ExpressRoute:
- Entre no portal do usuário do Azure Stack Hub e selecione Todos os recursos.
- Navegue até o grupo de recursos do Gateway de VPN e selecione o tipo de objeto Connection .
- Selecione a conexão ConnectToAzure na lista.
- Em Visão geral de conexões>, você pode ver estatísticas de dados de entrada e saída de dados. Você deve ver alguns valores diferentes de zero.