Ansluta Azure Stack Hub till Azure via Azure ExpressRoute

Den här artikeln beskriver hur du ansluter ett virtuellt Azure Stack Hub-nätverk till ett virtuellt Azure-nätverk med hjälp av en Direktanslutning till Microsoft Azure ExpressRoute .

Du kan använda den här artikeln som en självstudie och använda exemplen för att konfigurera samma testmiljö. Eller så kan du läsa artikeln som en genomgång som vägleder dig genom att konfigurera din egen ExpressRoute-miljö.

Översikt, antaganden och förutsättningar

Med Azure ExpressRoute kan du utöka dina lokala nätverk till Microsoft-molnet via en privat anslutning som tillhandahålls av en anslutningsleverantör. ExpressRoute är inte en VPN-anslutning via det offentliga Internet.

Mer information om Azure ExpressRoute finns i Översikt över ExpressRoute.

Antaganden

Den här artikeln förutsätter att:

• Du har en fungerande kunskap om Azure.
• Du har en grundläggande förståelse för Azure Stack Hub.
• Du har en grundläggande förståelse för nätverk.

Förutsättningar

Om du vill ansluta Azure Stack Hub och Azure med ExpressRoute måste du uppfylla följande krav:

• En etablerad ExpressRoute-krets via en anslutningsprovider.
• En Azure-prenumeration för att skapa en ExpressRoute-krets och virtuella nätverk i Azure.
• En router som måste:
  • Stöd för plats-till-plats-VPN-anslutningar mellan dess LAN-gränssnitt och Azure Stack Hub multi-tenant gateway.
  • Stöd för att skapa flera VRF:er (virtuell routning och vidarebefordran) om det finns fler än en klientorganisation i din Azure Stack Hub-distribution.
• En router som har:
  • En WAN-port som är ansluten till ExpressRoute-kretsen.
  • En LAN-port som är ansluten till Azure Stack Hub-gatewayen för flera klientorganisationer.

ExpressRoute-nätverksarkitektur

Följande bild visar Azure Stack Hub- och Azure-miljöer när du har konfigurerat ExpressRoute med hjälp av exemplen i den här artikeln:

Följande bild visar hur flera klienter ansluter från Azure Stack Hub-infrastrukturen via ExpressRoute-routern till Azure:

Exemplet i den här artikeln använder samma arkitektur för flera klientorganisationer som visas i det här diagrammet för att ansluta Azure Stack Hub till Azure med hjälp av expressroute-privat peering. Anslutningen görs med hjälp av en plats-till-plats VPN-anslutning från den virtuella nätverksgatewayen i Azure Stack Hub till en ExpressRoute-router.

Stegen i den här artikeln visar hur du skapar en anslutning från slutpunkt till slutpunkt mellan två virtuella nätverk från två olika klienter i Azure Stack Hub till motsvarande virtuella nätverk i Azure. Det är valfritt att konfigurera två klienter. Du kan också använda de här stegen för en enda klientorganisation.

Konfigurera Azure Stack Hub

Om du vill konfigurera Azure Stack Hub-miljön för den första klientorganisationen använder du följande steg som en guide. Om du konfigurerar fler än en klientorganisation upprepar du följande steg:

Kommentar

De här stegen visar hur du skapar resurser med hjälp av Azure Stack Hub-portalen, men du kan också använda PowerShell.

Innan du börjar

Innan du börjar konfigurera Azure Stack Hub behöver du:

• En Azure Stack Hub-distribution.
• Ett erbjudande i Azure Stack Hub som användarna kan prenumerera på. Mer information finns i Service, plan, offer, subscription overview (Tjänst, plan, erbjudande, prenumerationsöversikt).

Skapa nätverksresurser i Azure Stack Hub

Använd följande procedurer för att skapa nödvändiga nätverksresurser i Azure Stack Hub för en klientorganisation.

Skapa ett undernät för det virtuella nätverket och den virtuella datorn

1. Logga in på Azure Stack Hub-användarportalen.

2. I portalen väljer du + Skapa en resurs.

3. Under Azure Marketplace väljer du Nätverk.

4. Under Aktuell väljer du Virtuellt nätverk.

5. Under Skapa virtuellt nätverk anger du de värden som visas i följande tabell i lämpliga fält:

   Fält	Värde
   Name	Tenant1VNet1
   Adressutrymme	10.1.0.0/16
   Namn på undernät	Klientorganisation 1-under1
   Adressintervall för undernätet	10.1.1.0/24

6. Du bör se den prenumeration som du skapade tidigare i fältet Prenumeration . För de återstående fälten:

   • Under Resursgrupp väljer du Skapa ny för att skapa en ny resursgrupp, eller om du redan har en väljer du Använd befintlig.
   • Kontrollera standardplatsen.
   • Klicka på Skapa.
   • (Valfritt) Klicka på Fäst på instrumentpanelen.

Skapa gateway-undernätet

1. Under Virtuellt nätverk väljer du Tenant1VNet1.
2. Under INSTÄLLNINGAR väljer du Undernät.
3. Välj + Gateway-undernät för att lägga till ett gateway-undernät i det virtuella nätverket.
4. Namnet på undernätet ställs in på GatewaySubnet som standard. Gateway-undernät är ett specialfall och måste använda det här namnet för att fungera korrekt.
5. Kontrollera att adressintervallet är 10.1.0.0/24.
6. Klicka på OK för att skapa gatewayundernätet.

Skapa den virtuella nätverksgatewayen

1. I Azure Stack Hub-användarportalen klickar du på + Skapa en resurs.
2. Under Azure Marketplace väljer du Nätverk.
3. Välj Virtuell nätverksgateway från listan med nätverksresurser.
4. I fältet Namn anger du GW1.
5. Välj virtuellt nätverk.
6. Välj Tenant1VNet1 i listrutan.
7. Välj Offentlig IP-adress, välj sedan offentlig IP-adress och klicka sedan på Skapa ny.
8. I fältet Namn skriver du GW1-PiP och klickar sedan på OK.
9. VPN-typen ska ha Routningsbaserad valt som standard. Behåll den inställningen.
10. Verifiera att Prenumeration och Plats stämmer. Klicka på Skapa.

Skapa den lokala nätverksgatewayen

Den lokala nätverksgatewayresursen identifierar fjärrgatewayen i andra änden av VPN-anslutningen. I det här exemplet är fjärrslutet för anslutningen lan-undergränssnittet för ExpressRoute-routern. För klientorganisation 1 i föregående diagram är fjärradressen 10.60.3.255.

1. Logga in på Azure Stack Hub-användarportalen och välj + Skapa en resurs.

2. Under Azure Marketplace väljer du Nätverk.

3. Välj lokal nätverksgateway från listan med resurser.

4. I fältet Namn skriver du ER-Router-GW.

5. För fältet IP-adress , se föregående bild. IP-adressen för ExpressRoute-routerns LAN-undergränssnitt för klientorganisation 1 är 10.60.3.255. För din egen miljö anger du IP-adressen för routerns motsvarande gränssnitt.

6. I fältet Adressutrymme anger du adressutrymmet för de virtuella nätverk som du vill ansluta till i Azure. Undernäten för klientorganisation 1 är följande:

   • 192.168.2.0/24 är det virtuella hubbnätverket i Azure.
   • 10.100.0.0/16 är det virtuella ekernätverket i Azure.

   Viktigt!

   Det här exemplet förutsätter att du använder statiska vägar för plats-till-plats-VPN-anslutningen mellan Azure Stack Hub-gatewayen och ExpressRoute-routern.

7. Kontrollera att din prenumeration, resursgrupp och plats är korrekta. Välj sedan Skapa.

Skapa anslutningen

1. I Azure Stack Hub-användarportalen väljer du + Skapa en resurs.
2. Under Azure Marketplace väljer du Nätverk.
3. Välj Anslutning i listan över resurser.
4. Under Grundläggande väljer du Plats-till-plats (IPSec) som anslutningstyp.
5. Välj prenumeration, resursgrupp och plats. Klicka på OK.
6. Under Inställningar väljer du Virtuell nätverksgateway och sedan GW1.
7. Välj Lokal nätverksgateway och välj sedan ER Router GW.
8. I fältet Anslutningsnamn anger du ConnectToAzure.
9. I fältet Delad nyckel (PSK) anger du abc123 och väljer sedan OK.
10. Under Sammanfattning väljer du OK.

Hämta den offentliga IP-adressen för den virtuella nätverksgatewayen

När du har skapat den virtuella nätverksgatewayen kan du hämta gatewayens offentliga IP-adress. Anteckna den här adressen om du behöver den senare för distributionen. Beroende på din distribution används den här adressen som intern IP-adress.

1. I Azure Stack Hub-användarportalen väljer du Alla resurser.
2. Under Alla resurser väljer du den virtuella nätverksgatewayen, som är GW1 i exemplet.
3. Under Virtuell nätverksgateway väljer du Översikt i listan över resurser. Du kan också välja Egenskaper.
4. DEN IP-adress som du vill anteckna visas under Offentlig IP-adress. För exempelkonfigurationen är den här adressen 192.68.102.1.

Skapa en virtuell dator (VM)

För att testa datatrafik via VPN-anslutningen behöver du virtuella datorer för att skicka och ta emot data i det virtuella Azure Stack Hub-nätverket. Skapa en virtuell dator och distribuera den till undernätet för den virtuella datorn för ditt virtuella nätverk.

1. I Azure Stack Hub-användarportalen väljer du + Skapa en resurs.

2. Under Azure Marketplace väljer du Beräkning.

3. I listan över VM-avbildningar väljer du Windows Server 2016 Datacenter Eval-avbildningen.

   Kommentar

   Om den avbildning som används för den här artikeln inte är tillgänglig ber du din Azure Stack Hub-operatör att tillhandahålla en annan Windows Server-avbildning.

4. I Skapa virtuell dator väljer du Grundläggande och skriver sedan VM01 som Namn.

5. Ange ett giltigt användarnamn och lösenord. Du använder det här kontot för att logga in på den virtuella datorn när den har skapats.

6. Ange en prenumeration, resursgrupp och en plats. Välj OK.

7. Under Välj en storlek väljer du en VM-storlek för den här instansen och väljer sedan Välj.

8. Under Inställningar bekräftar du att:

   • Det virtuella nätverket är Tenant1VNet1.
   • Undernätet är inställt på 10.1.1.0/24.

   Använd standardinställningarna och klicka på OK.

9. Under Sammanfattning granskar du konfigurationen av den virtuella datorn och klickar sedan på OK.

Om du vill lägga till fler klienter upprepar du de steg som du följde i de här avsnitten:

• Skapa det virtuella nätverket och undernätet för virtuella datorer
• Skapa gatewayundernätet
• Skapa den virtuella nätverksgatewayen
• Skapa den lokala nätverksgatewayen
• Skapa anslutningen
• Skapa en virtuell dator

Om du använder klientorganisation 2 som exempel bör du komma ihåg att ändra IP-adresserna för att undvika överlappningar.

Konfigurera den virtuella NAT-datorn för gateway-bläddering

Viktigt!

Det här avsnittet är endast för ASDK-distributioner. NAT behövs inte för distributioner med flera noder.

ASDK är fristående och isolerat från nätverket där den fysiska värden distribueras. DET VIP-nätverk som gatewayerna är anslutna till är inte externt. den är dold bakom en router som utför NAT (Network Address Translation).

Routern är ASDK-värden som kör rollen Routning och fjärråtkomsttjänster (RRAS). Du måste konfigurera NAT på ASDK-värden för att aktivera plats-till-plats VPN-anslutningen för att ansluta i båda ändar.

Konfigurera NAT

1. Logga in på Azure Stack Hub-värddatorn med ditt administratörskonto.

2. Kör skriptet i en upphöjd PowerShell ISE. Det här skriptet returnerar din externa BGPNAT-adress.

   Get-NetNatExternalAddress
   

3. Om du vill konfigurera NAT kopierar och redigerar du följande PowerShell-skript. Redigera skriptet för att ersätta External BGPNAT address och Internal IP address med följande exempelvärden:

   • För extern BGPNAT-adress använder du 10.10.0.62
   • För intern IP-adress använder du 192.168.102.1

   Kör följande skript från en upphöjd PowerShell ISE:

   $ExtBgpNat = 'External BGPNAT address'
   $IntBgpNat = 'Internal IP address'
   
   # Designate the external NAT address for the ports that use the IKE authentication.
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 499 `
      -PortEnd 501
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 4499 `
      -PortEnd 4501
   # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 500 `
      -InternalPort 500
   # Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 4500 `
      -InternalPort 4500
   

Konfigurera Azure

När du har konfigurerat Azure Stack Hub kan du distribuera Azure-resurserna. Följande bild visar ett exempel på ett virtuellt klientnätverk i Azure. Du kan använda valfritt namn- och adressschema för ditt virtuella nätverk i Azure. Adressintervallet för de virtuella nätverken i Azure och Azure Stack Hub måste dock vara unikt och får inte överlappa varandra:

De resurser som du distribuerar i Azure liknar de resurser som du distribuerade i Azure Stack Hub. Du distribuerar följande komponenter:

• Virtuella nätverk och undernät
• Ett gatewayundernät
• En virtuell nätverksgateway
• En anslutning
• En ExpressRoute-krets

Exempelinfrastrukturen för Azure-nätverk har konfigurerats på följande sätt:

• En standardhubb (192.168.2.0/24) och eker (10.100.0.0./16) VNet-modell. Mer information om nätverkstopologin hub-spoke finns i Implementera en nätverkstopologi för hub-spoke i Azure.
• Arbetsbelastningarna distribueras i det virtuella ekernätverket och ExpressRoute-kretsen är ansluten till det virtuella hubbnätverket.
• De två virtuella nätverken är anslutna med VNet-peering.

Konfigurera virtuella Azure-nätverk

1. Logga in på Azure Portal med dina Azure-autentiseringsuppgifter.
2. Skapa det virtuella hubbnätverket med adressintervallet 192.168.2.0/24.
3. Skapa ett undernät med adressintervallet 192.168.2.0/25 och lägg till ett gatewayundernät med adressintervallet 192.168.2.128/27.
4. Skapa det virtuella ekernätverket och undernätet med adressintervallet 10.100.0.0/16.

Mer information om hur du skapar virtuella nätverk i Azure finns i Skapa ett virtuellt nätverk.

Konfigurera en ExpressRoute-krets

1. Granska kraven för ExpressRoute i krav för ExpressRoute och checklistan.

2. Följ stegen i Skapa och ändra en ExpressRoute-krets för att skapa en ExpressRoute-krets med din Azure-prenumeration.

   Kommentar

   Ge tjänstnyckeln för din krets till din tjänst så att de kan konfigurera Din ExpressRoute-krets i slutet.

3. Följ stegen i Skapa och ändra peering för en ExpressRoute-krets för att konfigurera privat peering på ExpressRoute-kretsen.

Skapa den virtuella nätverksgatewayen

Följ stegen i Konfigurera en virtuell nätverksgateway för ExpressRoute med PowerShell för att skapa en virtuell nätverksgateway för ExpressRoute i det virtuella hubbnätverket.

Skapa anslutningen

Om du vill länka ExpressRoute-kretsen till det virtuella hubbnätverket följer du stegen i Ansluta ett virtuellt nätverk till en ExpressRoute-krets.

Peerkoppla de virtuella nätverken

Peerkoppla de virtuella hubb- och ekernätverken med hjälp av stegen i Skapa en peering för virtuella nätverk med hjälp av Azure Portal. När du konfigurerar VNet-peering kontrollerar du att du använder följande alternativ:

• Från hubben till ekern, Tillåt gatewayöverföring.
• Från ekern till hubben använder du fjärrgateway.

Skapa en virtuell dator

Distribuera dina virtuella arbetsbelastningsdatorer till det virtuella ekernätverket.

Upprepa de här stegen för eventuella ytterligare virtuella klientnätverk som du vill ansluta i Azure via deras respektive ExpressRoute-kretsar.

Konfigurera routern

Du kan använda följande konfigurationsdiagram för ExpressRoute-routern som en guide för att konfigurera ExpressRoute-routern. Den här bilden visar två klienter (klientorganisation 1 och klientorganisation 2) med respektive ExpressRoute-kretsar. Varje klientorganisation är länkad till sin egen VRF (virtuell routning och vidarebefordran) i LAN- och WAN-sidan av ExpressRoute-routern. Den här konfigurationen säkerställer isolering från slutpunkt till slutpunkt mellan de två klientorganisationer. Anteckna DE IP-adresser som används i routergränssnitten när du följer konfigurationsexemplet.

Du kan använda valfri router som stöder IKEv2 VPN och BGP för att avsluta VPN-anslutningen från plats till plats från Azure Stack Hub. Samma router används för att ansluta till Azure med hjälp av en ExpressRoute-krets.

Följande konfigurationsexempel för Cisco ASR 1000 Series Aggregation Services Router stöder nätverksinfrastrukturen som visas i konfigurationsdiagrammet för ExpressRoute-routern .

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

Testa anslutningen

Testa anslutningen när du har upprättat plats-till-plats-anslutningen och ExpressRoute-kretsen.

Utför följande ping-tester:

• Logga in på en av de virtuella datorerna i ditt virtuella Azure-nätverk och pinga den virtuella dator som du skapade i Azure Stack Hub.
• Logga in på en av de virtuella datorer som du skapade i Azure Stack Hub och pinga den virtuella dator som du skapade i det virtuella Azure-nätverket.

Kommentar

För att se till att du skickar trafik via anslutningarna plats-till-plats och ExpressRoute måste du pinga den virtuella datorns dedikerade IP-adress (DIP) i båda ändar och inte den virtuella datorns VIP-adress.

Tillåt ICMP via brandväggen

Windows Server 2016 tillåter som standard inte inkommande ICMP-paket via brandväggen. För varje virtuell dator som du använder för pingtester måste du tillåta inkommande ICMP-paket. Om du vill skapa en brandväggsregel för ICMP kör du följande cmdlet i ett upphöjt PowerShell-fönster:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Pinga den virtuella Azure Stack Hub-datorn

1. Logga in på Azure Stack Hub-användarportalen.

2. Leta upp den virtuella dator som du skapade och välj den.

3. Välj Anslut.

4. Från en upphöjd Windows- eller PowerShell-kommandotolk anger du ipconfig /all. Observera den IPv4-adress som returneras i utdata.

5. Pinga IPv4-adressen från den virtuella datorn i det virtuella Azure-nätverket.

   I exempelmiljön kommer IPv4-adressen från undernätet 10.1.1.x/24. I din miljö kan adressen vara annorlunda, men den bör finnas i det undernät som du skapade för klientorganisationens VNet-undernät.

Visa statistik för dataöverföring

Om du vill veta hur mycket trafik som passerar genom anslutningen kan du hitta den här informationen på Azure Stack Hub-användarportalen. Att visa dataöverföringsstatistik är också ett bra sätt att ta reda på om dina pingtestdata gick igenom VPN- och ExpressRoute-anslutningarna eller inte:

1. Logga in på Azure Stack Hub-användarportalen och välj Alla resurser.
2. Gå till resursgruppen för vpn-gatewayen och välj objekttypen Anslutning .
3. Välj ConnectToAzure-anslutningen i listan.
4. Under Anslutningsöversikt> kan du se statistik för in- och utdata. Du bör se några värden som inte är noll.

Nästa steg

Distribuera appar till Azure och Azure Stack Hub