Поделиться через

Настройка параллельных подключений "сеть — сеть" и ExpressRoute с помощью портала Azure

  • Статья

Сведения в этой статье помогут настроить параллельные соединения ExpressRoute и соединения VPN типа "сеть — сеть". Настройка обоих подключений имеет несколько преимуществ, таких как предоставление безопасного пути отработки отказа или подключение к сайтам, не связанным через ExpressRoute. Это руководство относится к модели развертывания Resource Manager.

Преимущества сосуществующих подключений

  • Безопасный путь отработки отказа: настройте VPN типа "сеть — сеть" в качестве резервной копии для ExpressRoute.
  • Подключение к дополнительным сайтам. Используйте виртуальные сети типа "сеть — сеть" для подключения к сайтам, не подключенным через ExpressRoute.

В этой статье описан порядок действий для каждого из этих вариантов. Сначала можно настроить любой шлюз без простоя при добавлении нового шлюза или подключения шлюза.

Примечание.

  • Сведения о создании VPN типа "сеть — сеть" через подключение ExpressRoute см. в разделе "Сеть — сеть" через пиринг Майкрософт.
  • Если у вас уже есть ExpressRoute, вам не нужно создавать подсеть виртуальной сети или шлюза, так как они необходимы для создания ExpressRoute.
  • Для зашифрованного шлюза ExpressRoute msS (максимальный размер сегмента) выполняется поверх Azure VPN-шлюз для закрепления размера TCP-пакета в 1 250 байтах.

Ограничения и ограничения

  • Поддерживается только VPN-шлюз на основе маршрутов: используйте VPN-шлюз на основе маршрутов. Вы также можете использовать VPN-шлюз на основе маршрутов с VPN-подключением, настроенным для селекторов трафика на основе политик, как описано в разделе "Подключение к нескольким VPN-устройствам на основе политик".
  • Одновременное использование конфигураций VPN-шлюзов и ExpressRoute не поддерживается в SKU "Базовый".
  • Обмен данными BGP: как ExpressRoute, так и VPN-шлюзы должны взаимодействовать через BGP. Убедитесь, что любой UDR в подсети шлюза не включает маршрут для самого диапазона подсети шлюза, так как это мешает трафику BGP.
  • Транзитная маршрутизация. Для транзитной маршрутизации между ExpressRoute и VPN asN azure VPN-шлюз должен иметь значение 65515. VPN-шлюз Azure поддерживает протокол маршрутизации BGP. Чтобы обеспечить совместную работу, сохраните ASN VPN-шлюза Azure по умолчанию 65515. Если вы измените ASN на 65515, сбросьте VPN-шлюз, чтобы параметр вступают в силу.
  • Размер подсети шлюза: подсеть шлюза должна быть /27 или более коротким префиксом (например, /26 или /25), или при добавлении шлюза виртуальной сети ExpressRoute появится сообщение об ошибке.

Макеты конфигураций

Настройка VPN типа "сеть — сеть" в качестве пути отработки отказа для ExpressRoute

Vpn-подключение типа "сеть — сеть" можно настроить как резервную копию для ExpressRoute. Эта настройка применима только к виртуальным сетям, связанным с частным пиринговым путем Azure. Для служб, доступ к которым осуществляется через пиринг Microsoft Azure, решения для отработки отказа на основе VPN не существует. Канал ExpressRoute остается основным каналом, а данные передаются через VPN-путь типа "сеть — сеть", только если канал ExpressRoute завершается сбоем. Чтобы избежать асимметричной маршрутизации, настройте локальную сеть, чтобы предпочитать канал ExpressRoute через VPN типа "сеть — сеть", задав более высокий локальный выбор маршрутов, полученных через ExpressRoute.

Примечание.

Если пиринг Майкрософт для ExpressRoute включен, вы можете получить общедоступный IP-адрес VPN-шлюза Azure в подключении ExpressRoute. Чтобы настроить VPN-подключение типа "сеть — сеть" в качестве резервной копии, настройте локальную сеть таким образом, чтобы VPN-подключение перенаправилось в Интернет.

Примечание.

Хотя канал ExpressRoute предпочтителен по сравнению с VPN типа "сеть — сеть", если оба маршрута одинаковы, Azure будет использовать самый длинный префикс, чтобы выбрать маршрут к назначению пакета.

Схема VPN-подключения типа

Настройка VPN типа "сеть — сеть" для подключения к сайтам, не подключенным через ExpressRoute

Вы можете настроить сеть таким образом, чтобы некоторые сайты подключались непосредственно к Azure через VPN типа "сеть — сеть", а другие подключаются через ExpressRoute.

Схема VPN-подключения типа

Выбор шагов для использования

Существует два типа процедур. Выбранная процедура конфигурации зависит от того, есть ли у вас существующая виртуальная сеть, к которой требуется подключиться, или если необходимо создать новую виртуальную сеть.

  • У меня нет виртуальной сети и нужно создать ее.

    Если у вас еще нет виртуальной сети, выполните действия, описанные в статье "Создание виртуальной сети" и совместное подключение для создания новой виртуальной сети с помощью модели развертывания Resource Manager и настройки новых VPN-подключений ExpressRoute и VPN типа "сеть — сеть".

  • У меня уже есть виртуальная сеть модели развертывания Resource Manager.

    Если у вас уже есть виртуальная сеть с существующим VPN-подключением типа "сеть — сеть" или подключением ExpressRoute, а префикс подсети шлюза — /28 или более длинным (/29, /30 и т. д.), необходимо удалить существующий шлюз. Выполните действия, описанные в статье "Настройка сосуществующих подключений для уже существующей виртуальной сети для удаления шлюза и создания подключений ExpressRoute и VPN типа "сеть — сеть".

    Удаление и повторное создание шлюза приведет к простою для локальных подключений. Однако виртуальные машины и службы по-прежнему могут взаимодействовать через подсистему балансировки нагрузки во время этого процесса, если они настроены для этого.

Создание новой виртуальной сети и параллельных подключений

В этой процедуре описано, как создать виртуальную сеть и настроить совместное подключение "сеть — сеть" и ExpressRoute.

  1. Войдите на портал Azure.

  2. В левой верхней части экрана выберите +Создать ресурс и найдите элемент Виртуальная сеть.

  3. Выберите Создать, чтобы начать настройку виртуальной сети.

    Снимок экрана: страница создания виртуальной сети.

  4. На вкладке Основные выберите или создайте группу ресурсов для хранения виртуальной сети. Введите имя и выберите регион для развертывания виртуальной сети. Нажмите Далее: IP-адреса >, чтобы настроить адресное пространство и подсети.

    Снимок экрана: вкладка

  5. На вкладке IP-адресов настройте адресное пространство виртуальной сети. Определите подсети, которые вы хотите создать, включая подсеть шлюза. Выберите "Проверить и создать", а затем создайте для развертывания виртуальной сети. См. дополнительные сведения в статье о создании виртуальной сети. Дополнительные сведения о создании подсетей см. в статье "Создание подсети".

    Внимание

    Подсеть шлюза должна иметь префикс /27 или более короткий префикс (например, /26 или /25).

    Снимок экрана: вкладка IP-адресов для создания виртуальной сети.

  6. Создайте VPN-шлюз типа "сеть — сеть" и локальный сетевой шлюз. Дополнительные сведения о конфигурации VPN-шлюза см. в статье "Настройка виртуальной сети с подключением типа "сеть — сеть". GatewaySku поддерживается только в VPN-шлюзах VpnGw1, VpnGw2, VpnGw3, Standard и HighPerformance. Одновременное использование конфигураций VPN-шлюзов и ExpressRoute не поддерживается в SKU "Базовый". Параметр VpnType должен иметь значение RouteBased.

  7. Настройте локальное VPN-устройство для подключения к новому VPN-шлюзу Azure. Дополнительные сведения о настройке VPN-устройства см. в статье О VPN-устройствах для подключений VPN-шлюзов типа "сеть — сеть".

  8. Если вы подключаетесь к существующему каналу ExpressRoute, пропустите шаги 8 и 9 и перейдите к шагу 10. Настройте каналы ExpressRoute. Дополнительные сведения о настройке канала ExpressRoute см. в статье "Создание канала ExpressRoute".

  9. Настройте частный пиринг Azure через канал ExpressRoute. Дополнительные сведения о настройке частного пиринга Azure по каналу ExpressRoute см. в разделе "Настройка пиринга".

  10. Выберите +Создать ресурс и выполните поиск по фразе шлюз виртуальной сети. Затем выберите Создать.

  11. Выберите тип шлюза ExpressRoute, соответствующий номер SKU и виртуальную сеть для развертывания шлюза.

    Снимок экрана: создание шлюза виртуальной сети для ExpressRoute.

  12. Свяжите шлюз ExpressRoute с каналом ExpressRoute. После завершения этого шага устанавливается подключение между локальной сетью и Azure через ExpressRoute. Дополнительные сведения об операции связывания см. в статье Связывание виртуальной сети с каналом ExpressRoute.

Настройка сосуществующих подключений для уже существующей виртуальной сети

Если у вас есть виртуальная сеть только с одним шлюзом виртуальной сети (например, VPN-шлюзом типа "сеть — сеть") и требуется добавить другой шлюз другого типа (например, шлюз ExpressRoute), проверьте размер подсети шлюза. Если подсеть шлюза имеет значение /27 или больше, можно пропустить следующие действия и выполнить действия, описанные в предыдущем разделе, чтобы добавить VPN-шлюз типа "сеть — сеть" или шлюз ExpressRoute. Если размер подсети шлюза — /28 или /29, необходимо сначала удалить шлюз виртуальной сети и увеличить размер подсети шлюза. В этом разделе показано, как это сделать.

  1. Удалите для сети типа "сеть — сеть" существующий VPN-шлюз или шлюз ExpressRoute.

  2. Удалите и повторно создайте шлюзSubnet с префиксом /27 или короче.

  3. Настройте виртуальную сеть с подключением типа "сеть — сеть" и настройте шлюз ExpressRoute.

  4. После развертывания шлюза ExpressRoute можно связать виртуальную сеть с каналом ExpressRoute.

Добавление конфигурации "точка — сеть" к VPN-шлюзу

Вы можете добавить конфигурацию "точка — сеть" в сосуществующую настройку, выполнив инструкции по настройке VPN-подключения "точка — сеть" с помощью проверки подлинности сертификата Azure.

Включение транзитной маршрутизации между ExpressRoute и VPN Azure

Если вы хотите включить подключение между одной из локальных сетей, подключенных к ExpressRoute, и другой локальной сетью, подключенной к VPN-подключению типа "сеть — сеть", необходимо настроить сервер маршрутизации Azure.

Дальнейшие действия

Дополнительные сведения об ExpressRoute см. в статье Вопросы и ответы по ExpressRoute.