你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure 门户配置 ExpressRoute 和站点到站点共存连接
本文有助于配置可共存的 ExpressRoute 和站点到站点 VPN 连接。 能够配置站点到站点 VPN 和 ExpressRoute 具有多项优势。 可以将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径,或者使用站点到站点 VPN 连接到不是通过 ExpressRoute 进行连接的站点。 我们在本文中介绍这两种方案的配置步骤。 本文适用于 Resource Manager 部署模型。
配置站点到站点 VPN 和 ExpressRoute 共存连接具有多项优势:
- 可以将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径。
- 另外,还可以使用站点到站点 VPN 连接到未通过 ExpressRoute 连接的站点。
本文中介绍了这两种方案的配置步骤。 可以先配置任一网关。 通常,添加新网关或网关连接时不会导致停机。
注意
- 如果要通过 ExpressRoute 连接创建站点到站点 VPN,请参阅通过 Microsoft 对等互连的站点到站点 VPN。
- 对于 ExpressRoute-VPN 网关共存,如果已部署 ExpressRoute,则无需创建虚拟网络和网关子网,因为这是创建 ExpressRoute 的先决条件。
- 对于加密的快速路由网关,MSS 固定是通过 Azure VPN 网关执行的,以将 TCP 数据包大小固定在 1250 字节
限制和局限性
- 仅支持基于路由的 VPN 网关。 必须使用基于路由的 VPN 网关。 还可以将基于路由的 VPN 网关与为“基于策略的流量选择器”配置的 VPN 连接一起使用,如连接到多个基于策略的 VPN 设备中所述。
- 基本 SKU 不支持 ExpressRoute-VPN 网关共存配置。
- ExpressRoute 和 VPN 网关都必须能够通过 BGP 相互通信才能正常运行。 如果在网关子网上使用 UDR,请确保它不包含网关子网范围本身的路由,因为这会干扰 BGP 流量。
- 如果要在 ExpressRoute 和 VPN 之间使用传输路由,必须将 Azure VPN 网关的 ASN 设置为 65515。 Azure VPN 网关支持 BGP 路由协议。 要使 ExpressRoute 和 Azure VPN 协同工作,必须将 Azure VPN 网关的自治系统编号保留为其默认值 65515。 如果先前选择的是其他 ASN(而不是 65515),并且将设置更改为 65515,则必须重置 VPN 网关才能使设置生效。
- 网关子网必须是 /27 或更短的前缀(例如 /26、/25),否则,添加 ExpressRoute 虚拟网络网关时将收到错误消息。
配置设计
将站点到站点 VPN 配置为 ExpressRoute 的故障转移路径
可以将站点到站点 VPN 连接配置为 ExpressRoute 的备份。 此连接仅适用于链接到 Azure 专用对等互连路径的虚拟网络。 对于可通过 Azure Microsoft 对等互连访问的服务,没有基于 VPN 的故障转移解决方案。 ExpressRoute 线路始终是主链接。 仅当 ExpressRoute 线路失败时,数据才会流经站点到站点 VPN 路径。 若要避免不对称路由,本地网络配置还应当引用基于站点到站点 VPN 的 ExpressRoute 线路。 对于接收 ExpressRoute 的路由,可以通过设置更高的本地优先级来首选 ExpressRoute 路径。
注意
如果已启用 ExpressRoute Microsoft 对等互连,则可以在 ExpressRoute 连接上接收 Azure VPN 网关的公共 IP 地址。 若要将站点到站点 VPN 连接设置为备份,必须配置本地网络,以便将 VPN 连接路由到 Internet。
注意
虽然在两个路由相同的情况下 ExpressRoute 线路优先于站点到站点 VPN,Azure 仍会使用最长的前缀匹配来选择指向数据包目标的路由。
配置站点到站点 VPN,以便连接到不通过 ExpressRoute 进行连接的站点
可以对网络进行配置,使得部分站点通过站点到站点 VPN 直接连接到 Azure,部分站点通过 ExpressRoute 进行连接。
选择要使用的步骤
有两组不同的过程可供选择。 选择的配置过程将取决于有要连接到的现有虚拟网络,还是要创建新的虚拟网络。
我没有 VNet,需要创建一个。
如果还没有虚拟网络,此过程将指导使用 Resource Manager 部署模型创建新的虚拟网络,并创建新的 ExpressRoute 和站点到站点 VPN 连接。 若要配置虚拟网络,请遵循创建新的虚拟网络和并存连接中的步骤。
我已有一个 Resource Manager 部署模型 VNet。
可能已在具有现有站点到站点 VPN 连接或 ExpressRoute 连接的位置拥有虚拟网络。 在此场景下,如果网关子网前缀为 /28 或更长(/29、/30 等),则必须删除现有网关。 为现有的 VNet 配置并存连接 部分指导删除网关,然后创建新的 ExpressRoute 连接和站点到站点 VPN 连接。
如果删除并重新创建网关,则跨界连接会中断一段时间。 但是,在配置网关时,如果进行了相应配置,你的 VM 和服务可以通过负载均衡器与外界通信。
创建新的虚拟网络和并存连接
本过程指导你创建 VNet,以及共存的站点到站点和 ExpressRoute 连接。
登录 Azure 门户。
在屏幕左上方,选择“+ 创建资源”,然后搜索“虚拟网络”。
选择“创建”开始配置虚拟网络。
在“基本信息”标签上,选择或创建一个新的资源组来存储虚拟网络。 然后输入名称并选择区域以部署虚拟网络。 选择“下一步: IP 地址 >”以配置地址空间和子网。
在“IP 地址”选项卡上,配置虚拟网络地址空间。 然后定义要创建的子网,包括网关子网。 选择“查看 + 创建”选项卡,然后选择“创建”*以部署虚拟网络。 有关创建虚拟网络的详细信息,请参阅创建虚拟网络。 有关创建子网的详细信息,请参阅创建子网。
重要
网关子网必须是 /27 或更短的前缀(例如 /26 或 /25)。
创建站点到站点 VPN 网关和本地网络网关。 有关 VPN 网关配置的详细信息,请参阅使用站点到站点连接配置 VNet。 只有 VpnGw1、VpnGw2、VpnGw3、标准和高性能 VPN 网关支持 GatewaySku。 基本 SKU 不支持 ExpressRoute-VPN 网关共存配置。 VpnType 必须为 RouteBased。
配置本地 VPN 设备以连接到新的 Azure VPN 网关。 有关 VPN 设备配置的详细信息,请参阅 VPN 设备配置。
如果要连接到现有 ExpressRoute 线路,请跳过步骤 8 和 9,直接跳到步骤 10。 配置 ExpressRoute 线路。 有关配置 ExpressRoute 线路的详细信息,请参阅创建 ExpressRoute 线路。
配置基于 ExpressRoute 线路的 Azure 专用对等互连。 有关配置基于 ExpressRoute 线路的 Azure 专用对等互连的详细信息,请参阅配置对等互连
选择“+ 创建资源”并搜索“虚拟网络网关” 。 然后选择“创建”。
选择“ExpressRoute”网关类型、相应的 SKU 和要将网关部署到的虚拟网络。
将 ExpressRoute 网关连接到 ExpressRoute 线路。 完成此步骤后,则已通过 ExpressRoute 建立本地网络与 Azure 之间的连接。 有关链接操作的详细信息,请参阅 将 VNet 链接到 ExpressRoute。
为现有的 VNet 配置并存连接
如果你的虚拟网络只有一个虚拟网络网关(例如,站点到站点 VPN 网关),并且你想要添加另一个不同类型的网关(例如,ExpressRoute 网关),请检查网关子网大小。 如果网关子网为 /27 或更大,则可以跳过以下步骤并按照上一部分中的步骤添加站点到站点 VPN 网关或 ExpressRoute 网关。 如果网关子网为 /28 或 /29,则必须先删除虚拟网络网关,然后增加网关子网大小。 本部分的步骤说明如何这样做。
删除现有的 ExpressRoute 或站点到站点 VPN 网关。
删除并重新创建 GatewaySubnet,使前缀为 /27 或更短。
部署 ExpressRoute 网关后,可以将虚拟网络链接到 ExpressRoute 线路。
将点到站点配置添加到 VPN 网关
可以按照使用 Azure 证书身份验证配置点到站点 VPN 连接中的说明,将点到站点配置添加到共存集中
在 ExpressRoute 和 Azure VPN 之间启用传输路由
如果要在连接到 ExpressRoute 的某个本地网络与另一个连接到站点到站点 VPN 连接的本地网络之间启用连接,则需要设置 Azure 路由服务器。
后续步骤
有关 ExpressRoute 的详细信息,请参阅 ExpressRoute 常见问题。