Konfigurera expressroute- och plats-till-plats-samexisterande anslutningar med hjälp av Azure Portal
Den här artikeln hjälper dig att konfigurera ExpressRoute och VPN-anslutningar för plats till plats som samexisterar. Att konfigurera båda anslutningarna har flera fördelar, till exempel att tillhandahålla en säker redundanssökväg eller ansluta till webbplatser som inte är länkade via ExpressRoute. Den här guiden gäller för Resource Manager-distributionsmodellen.
Fördelar med samexisterande anslutningar
- Säker redundansväg: Konfigurera ett plats-till-plats-VPN som en säkerhetskopia för ExpressRoute.
- Anslut till ytterligare webbplatser: Använd plats-till-plats-VPN för att ansluta till platser som inte är anslutna via ExpressRoute.
Stegen för att konfigurera båda scenarierna beskrivs i den här artikeln. Du kan konfigurera antingen gateway först, vanligtvis utan att orsaka driftstopp när du lägger till en ny gateway eller gatewayanslutning.
Kommentar
- Information om hur du skapar ett plats-till-plats-VPN via en ExpressRoute-anslutning finns i Plats-till-plats via Microsoft-peering.
- Om du redan har ExpressRoute behöver du inte skapa ett virtuellt nätverk eller gateway-undernät eftersom de är förutsättningar för att skapa en ExpressRoute.
- För krypterad ExpressRoute-gateway utförs MSS (maximal segmentstorlek) över Azure VPN Gateway för att fästa TCP-paketstorleken på 1 250 byte.
Gränser och begränsningar
- Endast routningsbaserad VPN-gateway stöds: Använd en routningsbaserad VPN-gateway. Du kan också använda en routningsbaserad VPN-gateway med en VPN-anslutning som konfigurerats för "principbaserade trafikväljare" enligt beskrivningen i Anslut till flera principbaserade VPN-enheter.
- Samexistenskonfigurationer för ExpressRoute-VPN Gateway stöds inte på basic-SKU:n.
- BGP-kommunikation: Både ExpressRoute- och VPN-gatewayerna måste kommunicera via BGP. Se till att all UDR på gatewayundernätet inte innehåller någon väg för själva gatewayundernätsintervallet, eftersom detta stör BGP-trafiken.
- Transitroutning: För överföringsroutning mellan ExpressRoute och VPN måste ASN för Azure VPN Gateway vara inställt på 65515. Azure VPN Gateway stöder BGP-routningsprotokollet. Håll ASN för din Azure VPN-gateway till standardvärdet 65515 för att arbeta tillsammans. Om du ändrar ASN till 65515 återställer du VPN-gatewayen så att inställningen börjar gälla.
- Gateway-undernätsstorlek: Gateway-undernätet måste vara /27 eller ett kortare prefix (till exempel /26 eller /25), eller så får du ett felmeddelande när du lägger till den virtuella ExpressRoute-nätverksgatewayen.
Konfigurationsdesign
Konfigurera ett plats-till-plats-VPN som en redundansväg för ExpressRoute
Du kan konfigurera en VPN-anslutning från plats till plats som en säkerhetskopia för ExpressRoute. Den här konfigurationen gäller endast för virtuella nätverk som är länkade till den privata Peering-sökvägen i Azure. Det finns ingen VPN-baserad redundanslösning för tjänster som är tillgängliga via Azure Microsoft-peering. ExpressRoute-kretsen förblir den primära länken och data flödar endast via VPN-sökvägen plats-till-plats om ExpressRoute-kretsen misslyckas. För att undvika asymmetrisk routning konfigurerar du det lokala nätverket så att det föredrar ExpressRoute-kretsen framför plats-till-plats-VPN genom att ange en högre lokal inställning för de vägar som tas emot via ExpressRoute.
Kommentar
Om du har Aktiverat ExpressRoute Microsoft-peering kan du ta emot den offentliga IP-adressen för din Azure VPN-gateway på ExpressRoute-anslutningen. Om du vill konfigurera vpn-anslutningen från plats till plats som en säkerhetskopia konfigurerar du ditt lokala nätverk så att VPN-anslutningen dirigeras till Internet.
Kommentar
ExpressRoute-kretsen föredras framför plats-till-plats-VPN när båda vägarna är desamma, men Azure använder den längsta prefixmatchningen för att välja vägen mot paketets mål.
Konfigurera ett plats-till-plats-VPN för att ansluta till platser som inte är anslutna via ExpressRoute
Du kan konfigurera nätverket så att vissa webbplatser ansluter direkt till Azure via plats-till-plats-VPN, medan andra ansluter via ExpressRoute.
Välja de steg som ska användas
Det finns två uppsättningar procedurer för att välja bland. Vilken konfigurationsprocedur du väljer beror på om du har ett befintligt virtuellt nätverk som du vill ansluta till eller om du behöver skapa ett nytt virtuellt nätverk.
Jag har inget virtuellt nätverk och behöver skapa ett.
Om du inte redan har ett virtuellt nätverk följer du stegen i Skapa ett nytt virtuellt nätverk och samexisterande anslutningar för att skapa ett nytt virtuellt nätverk med resource manager-distributionsmodellen och konfigurera nya ExpressRoute- och plats-till-plats-VPN-anslutningar.
Jag har redan ett VNet för Resource Manager-distributionsmodellen.
Om du redan har ett virtuellt nätverk med en befintlig PLATS-till-plats-VPN-anslutning eller ExpressRoute-anslutning, och gateway-undernätsprefixet är /28 eller längre (/29, /30 osv.), måste du ta bort den befintliga gatewayen. Följ stegen i Konfigurera samexisterande anslutningar för ett redan befintligt virtuellt nätverk för att ta bort gatewayen och skapa nya ExpressRoute- och plats-till-plats-VPN-anslutningar.
Om du tar bort och återskapar din gateway kommer det att leda till stilleståndstid för dina anslutningar mellan platser. Men dina virtuella datorer och tjänster kan fortfarande kommunicera ut via lastbalanseraren under den här processen om de är konfigurerade för att göra det.
Så här skapar du ett nytt virtuellt nätverk och samexisterande anslutningar
Den här proceduren vägleder dig genom att skapa ett virtuellt nätverk och konfigurera samexisterande anslutningar från plats till plats och ExpressRoute.
Logga in på Azure-portalen.
Längst upp till vänster på skärmen väljer du + Skapa en resurs och söker efter Virtuellt nätverk.
Välj Skapa för att börja konfigurera det virtuella nätverket.
På fliken Grundläggande väljer eller skapar du en ny resursgrupp för att lagra det virtuella nätverket. Ange namnet och välj den region som det virtuella nätverket ska distribueras i. Välj Nästa: IP-adresser > för att konfigurera adressutrymmet och undernäten.
På fliken IP-adresser konfigurerar du det virtuella nätverkets adressutrymme. Definiera de undernät som du vill skapa, inklusive gatewayundernätet. Välj Granska + skapa och sedan Skapa för att distribuera det virtuella nätverket. Mer information om hur du skapar ett virtuellt nätverk finns i Skapa ett virtuellt nätverk. Mer information om hur du skapar undernät finns i Skapa ett undernät.
Viktigt!
Gateway-undernätet måste vara /27 eller ett kortare prefix (till exempel /26 eller /25).
Skapa VPN-gatewayen plats-till-plats och den lokala nätverksgatewayen. Mer information om vpn-gatewaykonfigurationen finns i Konfigurera ett virtuellt nätverk med en plats-till-plats-anslutning. GatewaySku stöds bara för följande VPN-gatewayer: VpnGw1, VpnGw2, VpnGw3, Standard och HighPerformance. Samexisterande konfigurationer för ExpressRoute-VPN Gateway stöds inte på basic-SKU:n. VpnType måste vara RouteBased.
Konfigurera din lokala VPN-enhet till att ansluta till en ny Azure VPN-gateway. Mer information om VPN-enhetskonfiguration finns i VPN-enhetskonfiguration.
Om du ansluter till en befintlig ExpressRoute-krets hoppar du över steg 8 och 9 och går vidare till steg 10. Konfigurera ExpressRoute-kretsar. Mer information om hur du konfigurerar en ExpressRoute-krets finns i Skapa en ExpressRoute-krets.
Konfigurera privat Azure-peering via ExpressRoute-kretsen. Mer information om hur du konfigurerar privat Azure-peering över ExpressRoute-kretsen finns i Konfigurera peering.
Välj + Skapa en resurs och sök efter virtuell nätverksgateway. Välj sedan Skapa.
Välj gatewaytypen ExpressRoute , lämplig SKU och det virtuella nätverk som gatewayen ska distribueras till.
Länka ExpressRoute-gatewayen till ExpressRoute-kretsen. När det här steget har slutförts upprättas anslutningen mellan ditt lokala nätverk och Azure via ExpressRoute. Mer information om länken finns i Länka VNets till ExpressRoute.
Så här konfigurerar du samexisterande anslutningar för ett redan befintligt virtuellt nätverk
Om du bara har ett virtuellt nätverk med en virtuell nätverksgateway (till exempel en VPN-gateway för plats-till-plats) och du vill lägga till en annan gateway av en annan typ (till exempel ExpressRoute-gateway) kontrollerar du gatewayens undernätsstorlek. Om gatewayundernätet är /27 eller större kan du hoppa över följande steg och följa stegen i föregående avsnitt för att lägga till antingen en PLATS-till-plats-VPN-gateway eller en ExpressRoute-gateway. Om gateway-undernätet är /28 eller /29, måste du först ta bort den virtuella nätverksgatewayen och öka storleken för gateway-undernätet. Stegen i det här avsnittet visar hur du gör.
Ta bort den befintliga ExpressRoute- eller VPN-gatewayen för plats till plats.
Ta bort och återskapa GatewaySubnet med prefixet /27 eller kortare.
Konfigurera ett virtuellt nätverk med en plats-till-plats-anslutning och konfigurera sedan ExpressRoute-gatewayen.
När ExpressRoute-gatewayen har distribuerats kan du länka det virtuella nätverket till ExpressRoute-kretsen.
Så här lägger du till punkt-till-plats-konfiguration till VPN-gateway
Du kan lägga till en punkt-till-plats-konfiguration i din samexisterande uppsättning genom att följa anvisningarna i Konfigurera punkt-till-plats-VPN-anslutning med Azure-certifikatautentisering.
Aktivera överföringsroutning mellan ExpressRoute och Azure VPN
Om du vill aktivera anslutningen mellan ett av dina lokala nätverk som är anslutna till ExpressRoute och ett annat lokalt nätverk som är anslutet till en PLATS-till-plats-VPN-anslutning måste du konfigurera Azure Route Server.
Nästa steg
Mer information om ExpressRoute finns i Vanliga frågor och svar om ExpressRoute.