Ansluta en ExpressRoute-krets till ett virtuellt nätverk

  • 5 minuter

En ExpressRoute-krets representerar en logisk anslutning mellan din lokala infrastruktur och Microsofts molntjänster via en anslutningsleverantör. Du kan beställa flera ExpressRoute-kretsar. Varje krets kan vara i samma eller olika regioner och kan anslutas till dina lokaler via olika anslutningsleverantörer. ExpressRoute-kretsar mappas inte till några fysiska entiteter. En krets använder ett standard-GUID som kallas för en tjänstnyckel (s-nyckel).

Koppla ett virtuellt nätverk till en ExpressRoute-krets

  • Du måste ha en aktiv ExpressRoute-krets.
  • Se till att du har konfigurerat azure-privat peering för din krets.
  • Se till att privat Azure-peering konfigureras och upprättar BGP-peering mellan ditt nätverk och Microsoft för anslutning från slutpunkt till slutpunkt.
  • Se till att du har ett virtuellt nätverk och en virtuell nätverksgateway skapad och helt etablerad. En virtuell nätverksgateway för ExpressRoute använder GatewayType ExpressRoute, inte VPN.
  • Du kan länka upp till 10 virtuella nätverk till en ExpressRoute-standardkrets. Alla virtuella nätverk måste finnas i samma geopolitiska region när du använder en ExpressRoute-standardkrets.
  • Ett enda virtuellt nätverk kan länkas till upp till 16 ExpressRoute-kretsar. ExpressRoute-kretsarna kan finnas i samma prenumeration, olika prenumerationer eller en blandning av båda.
  • Om du aktiverar ExpressRoute Premium-tillägget kan du länka virtuella nätverk utanför den geopolitiska regionen i ExpressRoute-kretsen. Med premiumtillägget kan du ansluta fler än 10 virtuella nätverk till din ExpressRoute-krets beroende på vilken bandbredd som valts.
  • Om du vill skapa anslutningen från ExpressRoute-kretsen till den virtuella ExpressRoute-målnätverksgatewayen måste antalet adressutrymmen som annonseras från de lokala eller peerkopplade virtuella nätverken vara lika med eller mindre än 200. När anslutningen har skapats kan du lägga till andra adressutrymmen, upp till 1 000, i de lokala eller peerkopplade virtuella nätverken.

Lägga till ett VPN i en ExpressRoute-distribution

Det här avsnittet hjälper dig att konfigurera säker krypterad anslutning mellan ditt lokala nätverk och dina virtuella Azure-nätverk (VNet) via en privat ExpressRoute-anslutning. Du kan använda Microsoft-peering för att upprätta en plats-till-plats-IPsec/IKE VPN-tunnel mellan dina valda lokala nätverk och virtuella Azure-nätverk. Om du konfigurerar en säker tunnel via ExpressRoute kan du utbyta data med konfidentialitet, antirepris, äkthet och integritet.

Kommentar

När du konfigurerar plats-till-plats-VPN via Microsoft-peering debiteras du för VPN-gatewayen och VPN-utgående.

För hög tillgänglighet och redundans kan du konfigurera flera tunnlar över de två MSEE-PE-paren i en ExpressRoute-krets och aktivera belastningsutjämning mellan tunnlarna.

VPN-tunnlar via Microsoft-peering kan avslutas med vpn-gateway eller med hjälp av en lämplig virtuell nätverksinstallation (NVA) som är tillgänglig via Azure Marketplace. Du kan byta vägar statiskt eller dynamiskt över de krypterade tunnlarna utan att exponera vägutbytet för den underliggande Microsoft-peeringen. I det här avsnittet används BGP (skiljer sig från BGP-sessionen som används för att skapa Microsoft-peering) för att dynamiskt utbyta prefix över de krypterade tunnlarna.

Viktigt!

För den lokala sidan avslutas vanligtvis Microsoft-peering på DMZ och privat peering avslutas i kärnnätverkszonen. De två zonerna skulle separeras med hjälp av brandväggar. Om du konfigurerar Microsoft-peering exklusivt för att aktivera säker tunneltrafik via ExpressRoute bör du bara filtrera igenom de offentliga IP-adresser som annonseras via Microsoft-peering.

Steg

  • Konfigurera Microsoft-peering för din ExpressRoute-krets.
  • Annonsera valda offentliga Azure-prefix till ditt lokala nätverk via Microsoft-peering.
  • Konfigurera en VPN-gateway och upprätta IPsec-tunnlar
  • Konfigurera den lokala VPN-enheten.
  • Skapa IPsec/IKE-anslutningen för plats-till-plats.
  • (Valfritt) Konfigurera brandväggar/filtrering på den lokala VPN-enheten.
  • Testa och verifiera IPsec-kommunikationen via ExpressRoute-kretsen.