Configurar conexões coexistentes de Rota Expressa e Site a Site usando o portal do Azure

• Portal do Azure
• PowerShell – Resource Manager
• PowerShell – Clássica

Este artigo ajuda você a configurar conexões ExpressRoute e Site-to-Site VPN que coexistem. Configurar ambas as conexões tem várias vantagens, como fornecer um caminho de failover seguro ou conectar-se a sites não vinculados por meio da Rota Expressa. Este guia se aplica ao modelo de implantação do Resource Manager.

Vantagens das conexões coexistentes

• Caminho de failover seguro: configure uma VPN site a site como backup para a Rota Expressa.
• Conectar-se a sites adicionais: use VPNs site a site para se conectar a sites não conectados por meio da Rota Expressa.

São abrangidos neste artigo os passos para configurar ambos os cenários. Você pode configurar qualquer gateway primeiro, normalmente sem incorrer em tempo de inatividade ao adicionar um novo gateway ou conexão de gateway.

Nota

• Para criar uma VPN Site a Site através de uma conexão de Rota Expressa, consulte Site a site sobre emparelhamento da Microsoft.
• Se você já tiver a Rota Expressa, não precisará criar uma rede virtual ou uma sub-rede de gateway, pois eles são pré-requisitos para criar uma Rota Expressa.
• Para o Gateway de Rota Expressa criptografado, o MSS (tamanho máximo do segmento) é feito no Gateway de VPN do Azure para fixar o tamanho do pacote TCP em 1.250 bytes.

Limites e Limitações

• Somente gateway VPN baseado em rota é suportado: use um gateway VPN baseado em rota. Você também pode usar um gateway VPN baseado em rota com uma conexão VPN configurada para "seletores de tráfego baseados em política", conforme descrito em Conectar-se a vários dispositivos VPN baseados em política.
• As configurações coexistentes do ExpressRoute-VPN Gateway não são suportadas no Basic SKU.
• Comunicação BGP: Os gateways ExpressRoute e VPN devem se comunicar via BGP. Certifique-se de que qualquer UDR na sub-rede do gateway não inclua uma rota para o próprio intervalo de sub-redes do gateway, pois isso interfere no tráfego BGP.
• Roteamento de trânsito: para roteamento de trânsito entre a Rota Expressa e a VPN, o ASN do Gateway de VPN do Azure deve ser definido como 65515. O Gateway de VPN do Azure dá suporte ao protocolo de roteamento BGP. Para trabalhar em conjunto, mantenha o ASN do gateway de VPN do Azure no valor padrão, 65515. Se você alterar o ASN para 65515, redefina o gateway VPN para que a configuração entre em vigor.
• Tamanho da sub-rede do gateway: a sub-rede do gateway deve ser /27 ou um prefixo mais curto (como /26 ou /25) ou você recebe uma mensagem de erro ao adicionar o gateway de rede virtual ExpressRoute.

Designs de configuração

Configurar uma VPN site a site como um caminho de failover para a Rota Expressa

Você pode configurar uma conexão VPN Site a Site como backup para a Rota Expressa. Essa configuração é aplicável somente a redes virtuais vinculadas ao caminho de emparelhamento privado do Azure. Não há nenhuma solução de failover baseada em VPN para serviços acessíveis por meio do emparelhamento da Microsoft do Azure. O circuito da Rota Expressa continua sendo o link principal e os dados fluem pelo caminho VPN Site a Site somente se o circuito da Rota Expressa falhar. Para evitar roteamento assimétrico, configure sua rede local para preferir o circuito de Rota Expressa em vez da VPN Site a Site, definindo uma preferência local mais alta para as rotas recebidas via Rota Expressa.

Nota

Se você tiver o Emparelhamento Microsoft de Rota Expressa habilitado, poderá receber o endereço IP público do gateway de VPN do Azure na conexão de Rota Expressa. Para configurar sua conexão VPN Site a Site como um backup, configure sua rede local para que a conexão VPN seja roteada para a Internet.

Nota

Embora o circuito ExpressRoute seja preferido em relação à VPN Site a Site quando ambas as rotas são as mesmas, o Azure usará a correspondência de prefixo mais longa para escolher a rota em direção ao destino do pacote.

Configurar uma VPN site a site para se conectar a sites não conectados por meio da Rota Expressa

Você pode configurar sua rede para que alguns sites se conectem diretamente ao Azure por VPN Site a Site, enquanto outros se conectam por meio da Rota Expressa.

Selecionando as etapas a serem usadas

Existem dois conjuntos de procedimentos diferentes à escolha. O procedimento de configuração selecionado depende se você tem uma rede virtual existente à qual deseja se conectar ou se precisa criar uma nova rede virtual.

• Eu não tenho uma VNet e preciso criar uma.

  Se você ainda não tiver uma rede virtual, siga as etapas em Para criar uma nova rede virtual e conexões coexistentes para criar uma nova rede virtual usando o modelo de implantação do Gerenciador de Recursos e configurar novas conexões ExpressRoute e VPN Site a Site.

• Já tenho uma VNet de modelo de implantação do Resource Manager.

  Se você já tiver uma rede virtual com uma conexão VPN Site-to-Site existente ou conexão ExpressRoute, e o prefixo da sub-rede do gateway for /28 ou mais (/29, /30, etc.), será necessário excluir o gateway existente. Siga as etapas em Para configurar conexões coexistentes para uma rede virtual já existente para excluir o gateway e criar novas conexões ExpressRoute e Site-to-Site VPN.

  Excluir e recriar seu gateway resultará em tempo de inatividade para suas conexões entre locais. No entanto, suas VMs e serviços ainda podem se comunicar por meio do balanceador de carga durante esse processo, se estiverem configurados para isso.

Para criar uma nova rede virtual e ligações coexistentes

Este procedimento orienta você na criação de uma rede virtual e na configuração de conexões Site-to-Site e ExpressRoute coexistentes.

1. Inicie sessão no portal do Azure.

2. No canto superior esquerdo da tela, selecione + Criar um recurso e procure por Rede virtual.

3. Selecione Criar para começar a configurar a rede virtual.

   

4. Na guia Noções básicas, selecione ou crie um novo grupo de recursos para armazenar a rede virtual. Digite o nome e selecione a região para implantar a rede virtual. Selecione Next: IP Addresses > para configurar o espaço de endereço e as sub-redes.

   

5. Na guia Endereços IP, configure o espaço de endereço da rede virtual. Defina as sub-redes que deseja criar, incluindo a sub-rede do gateway. Selecione Rever + criar e, em seguida , Criar para implementar a rede virtual. Para obter mais informações sobre como criar uma rede virtual, veja Criar uma rede virtual. Para obter mais informações sobre como criar sub-redes, consulte Criar uma sub-rede.

   Importante

   A sub-rede do Gateway tem de ser /27 ou ter um prefixo mais curto (como /26 ou /25).

   

6. Crie o gateway VPN Site a Site e o gateway de rede local. Para obter mais informações sobre a configuração do gateway VPN, consulte Configurar uma rede virtual com uma conexão Site a Site. O GatewaySku só é suportado para VpnGw1, VpnGw2, VpnGw3, Standard e nos gateways de VPN HighPerformance. As configurações coexistentes do ExpressRoute-VPN Gateway não são suportadas na SKU básica. O VpnType tem de ser RouteBased.

7. Configure o seu dispositivo VPN local para estabelecer ligação com o novo gateway de VPN do Azure. Para obter mais informações sobre a configuração do dispositivo VPN, veja Configuração do Dispositivo VPN.

8. Se você estiver se conectando a um circuito de Rota Expressa existente, pule as etapas 8 a 9 e pule para a etapa 10. Configure circuitos do ExpressRoute. Para obter mais informações sobre como configurar um circuito de Rota Expressa, consulte Criar um circuito de Rota Expressa.

9. Configure o peering privado do Azure no circuito do ExpressRoute. Para obter mais informações sobre como configurar o emparelhamento privado do Azure no circuito de Rota Expressa, consulte Configurar emparelhamento.

10. Selecione + Criar um recurso e procure Gateway de rede virtual. Depois, selecione Criar.

11. Selecione o tipo de gateway da Rota Expressa, a SKU apropriada e a rede virtual na qual implantar o gateway.

    

12. Ligue o gateway ExpressRoute ao circuito ExpressRoute. Após a conclusão desta etapa, a conexão entre sua rede local e o Azure por meio da Rota Expressa é estabelecida. Para obter mais informações sobre a operação de ligação, veja Ligar VNets ao ExpressRoute.

Para configurar conexões coexistentes para uma rede virtual já existente

Se você tiver uma rede virtual com apenas um gateway de rede virtual (por exemplo, um gateway VPN Site a Site) e quiser adicionar outro gateway de um tipo diferente (por exemplo, gateway de Rota Expressa), verifique o tamanho da sub-rede do gateway. Se a sub-rede do gateway for /27 ou maior, você poderá ignorar as etapas a seguir e seguir as etapas na seção anterior para adicionar um gateway VPN Site a Site ou um gateway de Rota Expressa. Se a sub-rede do gateway é /28 ou /29, tem primeiro de eliminar o gateway da rede virtual e aumentar o tamanho da sub-rede do gateway. Os passos nesta secção mostram-lhe como o fazer.

1. Elimine o gateway ExpressRoute ou de Rede de VPNs existente.

2. Exclua e recrie o GatewaySubnet com um prefixo /27 ou inferior.

3. Configure uma rede virtual com uma conexão Site a Site e, em seguida, Configure o gateway da Rota Expressa.

4. Depois que o gateway da Rota Expressa for implantado, você poderá vincular a rede virtual ao circuito da Rota Expressa.

Para adicionar uma configuração ponto a site para o gateway de VPN

Você pode adicionar uma configuração Ponto a Site ao seu conjunto coexistente seguindo as instruções em Configurando a conexão VPN Ponto a Site usando a autenticação de certificado do Azure.

Para habilitar o roteamento de trânsito entre a Rota Expressa e a VPN do Azure

Se quiser habilitar a conectividade entre uma de suas redes locais conectadas à Rota Expressa e outra rede local conectada a uma conexão VPN Site a Site, você precisará configurar o Servidor de Rotas do Azure.

Próximos passos

Para obter mais informações acerca do ExpressRoute, veja as FAQs do ExpressRoute.