本文有助于配置可共存的 ExpressRoute 和站点到站点 VPN 连接。 配置这两个连接有几个优点,例如提供安全故障转移路径或连接到未通过 ExpressRoute 链接的站点。 本指南适用于资源管理器部署模型。
共存连接的优点
- 安全故障转移路径:将站点到站点 VPN 配置为 ExpressRoute 的备份。
- 连接到其他站点:使用站点到站点 VPN 连接到未通过 ExpressRoute 连接的站点。
本文中介绍了这两种方案的配置步骤。 可以先配置任一网关,通常在添加新网关或网关连接时不会造成停机。
注意
- 若要通过 ExpressRoute 连接创建站点到站点 VPN,请参阅通过 Microsoft 对等互连的站点到站点 VPN。
- 如果已有 ExpressRoute,则无需创建虚拟网络或网关子网,因为它们是创建 ExpressRoute 的先决条件。
- 对于加密的 ExpressRoute 网关,MSS(最大分段大小)固定是通过 Azure VPN 网关执行的,以将 TCP 数据包大小固定在 1,250 字节。
限制和局限性
- 仅支持基于路由的 VPN 网关:使用基于路由的 VPN 网关。 还可以将基于路由的 VPN 网关与为“基于策略的流量选择器”配置的 VPN 连接一起使用,如连接到多个基于策略的 VPN 设备中所述。
- 基本 SKU 不支持 ExpressRoute-VPN 网关共存配置。
- BGP 通信:ExpressRoute 和 VPN 网关必须通过 BGP 进行通信。 确保网关子网上的 UDR 不包含网关子网范围本身的路由,因为这会干扰 BGP 流量。
- 传输路由:对于 ExpressRoute 和 VPN 之间的传输路由,必须将 Azure VPN 网关的 ASN 设置为 65515。 Azure VPN 网关支持 BGP 路由协议。 若要协同工作,请将 Azure VPN 网关的 ASN 保留为默认值 65515。 如果要将 ASN 更改为 65515,请重置 VPN 网关,使设置生效。
- 网关子网大小:网关子网必须是 /27 或更短的前缀(例如 /26 或 /25),否则,添加 ExpressRoute 虚拟网络网关时将收到错误消息。
配置设计
将站点到站点 VPN 配置为 ExpressRoute 的故障转移路径
可以将站点到站点 VPN 连接设置为 ExpressRoute 的备份。 此设置仅适用于链接到 Azure 专用对等互连路径的虚拟网络。 对于可通过 Azure Microsoft 对等互连访问的服务,没有基于 VPN 的故障转移解决方案。 ExpressRoute 线路始终是主链接,仅当 ExpressRoute 线路发生故障时,数据才会流经站点到站点 VPN 路径。 为了避免非对称路由,请将本地网络配置为首选 ExpressRoute 线路而不是站点到站点 VPN,方法是为通过 ExpressRoute 接收的路由设置更高的本地首选项值。
注意
如果已启用 ExpressRoute Microsoft 对等互连,则可以在 ExpressRoute 连接上接收 Azure VPN 网关的公共 IP 地址。 若要将站点到站点 VPN 连接设置为备份,请配置本地网络,以便将 VPN 连接路由到 Internet。
注意
虽然在两个路由相同的情况下 ExpressRoute 线路优先于站点到站点 VPN,Azure 仍会使用最长的前缀匹配来选择指向数据包目标的路由。
配置站点到站点 VPN,以便连接到不通过 ExpressRoute 进行连接的站点
可以对网络进行配置,使得部分站点通过站点到站点 VPN 直接连接到 Azure,而其他站点通过 ExpressRoute 进行连接。
选择要使用的步骤
有两组不同的过程可供选择。 选择的配置过程将取决于是有要连接到的现有虚拟网络,还是需要创建新的虚拟网络。
我没有 VNet,需要创建一个。
如果还没有虚拟网络,请按照创建新的虚拟网络和并存连接中的步骤,使用资源管理器部署模型创建新的虚拟网络,并设置新的 ExpressRoute 连接和站点到站点 VPN 连接。
我已有一个资源管理器部署模型 VNet。
如果已有一个具有现有站点到站点 VPN 连接或 ExpressRoute 连接的虚拟网络,并且网关子网前缀为 /28 或更长(/29、/30 等),则需要删除现有网关。 按照为现有的虚拟网络配置并存连接中的步骤操作,以删除网关并创建新的 ExpressRoute 连接和站点到站点 VPN 连接。
删除和重新创建网关会导致跨界连接中断一段时间。 但在此过程中,如果进行了相应配置,VM 和服务仍可以通过负载均衡器与外界通信。
创建新的虚拟网络和并存连接
此过程将指导你完成创建虚拟网络并配置共存的站点到站点连接和 ExpressRoute 连接。
登录到 Azure 门户。
在屏幕左上方,选择“+ 创建资源”,然后搜索“虚拟网络”。
选择“创建”开始配置虚拟网络。
在“基本信息”标签上,选择或创建一个新的资源组来存储虚拟网络。 输入名称并选择区域以部署虚拟网络。 选择“下一步: IP 地址 >”以配置地址空间和子网。
在“IP 地址”选项卡上,配置“虚拟网络地址空间”。 定义要创建的子网,包括网关子网。 选择“查看 + 创建”选项卡,然后选择“创建”以部署虚拟网络。 有关创建虚拟网络的详细信息,请参阅创建虚拟网络。 有关创建子网的详细信息,请参阅创建子网。
重要
网关子网必须是 /27 或更短的前缀(例如 /26 或 /25)。
创建站点到站点 VPN 网关和本地网络网关。 有关 VPN 网关配置的详细信息,请参阅使用站点到站点连接配置虚拟网络。 只有 VpnGw1、VpnGw2、VpnGw3、标准和高性能 VPN 网关支持 GatewaySku。 基本 SKU 不支持 ExpressRoute-VPN 网关共存配置。 VpnType 必须为 RouteBased。
配置本地 VPN 设备以连接到新的 Azure VPN 网关。 有关 VPN 设备配置的详细信息,请参阅 VPN 设备配置。
如果连接到现有 ExpressRoute 线路,请跳过步骤 8 和 9,并跳到步骤 10。 配置 ExpressRoute 线路。 有关配置 ExpressRoute 线路的详细信息,请参阅创建 ExpressRoute 线路。
配置基于 ExpressRoute 线路的 Azure 专用对等互连。 有关配置基于 ExpressRoute 线路的 Azure 专用对等互连的详细信息,请参阅配置对等互连。
选择“+ 创建资源”并搜索“虚拟网络网关” 。 然后选择“创建”。
选择“ExpressRoute”网关类型、相应的 SKU 和要将网关部署到的虚拟网络。
将 ExpressRoute 网关连接到 ExpressRoute 线路。 完成此步骤后,则已通过 ExpressRoute 建立本地网络与 Azure 之间的连接。 有关链接操作的详细信息,请参阅 将 VNet 链接到 ExpressRoute。
为现有的虚拟网络配置并存连接
如果你的虚拟网络只有一个虚拟网络网关(例如,站点到站点 VPN 网关),并且你想要添加另一个不同类型的网关(例如,ExpressRoute 网关),请检查网关子网大小。 如果网关子网为 /27 或更大,则可以跳过以下步骤并按照上一部分中的步骤添加站点到站点 VPN 网关或 ExpressRoute 网关。 如果网关子网为 /28 或 /29,则必须先删除虚拟网络网关,然后增加网关子网大小。 本部分的步骤说明如何这样做。
删除现有的 ExpressRoute 或站点到站点 VPN 网关。
删除并重新创建 GatewaySubnet,使前缀为 /27 或更短。
部署 ExpressRoute 网关后,可以将虚拟网络链接到 ExpressRoute 线路。
将点到站点配置添加到 VPN 网关
可以按照使用 Azure 证书身份验证配置点到站点 VPN 连接中的说明,将点到站点配置添加到共存集中。
在 ExpressRoute 和 Azure VPN 之间启用传输路由
如果要在连接到 ExpressRoute 的某个本地网络与另一个连接到站点到站点 VPN 连接的本地网络之间启用连接,则需要设置 Azure 路由服务器。
后续步骤
有关 ExpressRoute 的详细信息,请参阅 ExpressRoute 常见问题。