使用 Azure 入口網站設定 ExpressRoute 和站對站並存連線
本文將協助您設定並存的 ExpressRoute 和站對站 VPN 連線。 設定這兩個連線有數個優點,例如提供安全的故障轉移路徑,或連線到未透過 ExpressRoute 連結的網站。 本指南適用於 Resource Manager 部署模型。
共存連接的優點
- 安全故障轉移路徑:將站對站 VPN 設定為 ExpressRoute 的備份。
- 線上到其他網站:使用站對站 VPN 連線到未透過 ExpressRoute 連線的網站。
本文涵蓋設定這兩個案例的步驟。 您可以先設定任一個閘道,通常不會在新增閘道或網關聯機時造成停機時間。
注意
- 如需透過 ExpressRoute 連線建立站對站 VPN,請參閱 站對站透過Microsoft對等互連。
- 如果您已經有ExpressRoute,就不需要建立虛擬網路或閘道子網,因為它們是建立ExpressRoute的必要條件。
- 針對加密的 ExpressRoute 閘道,MSS(區段大小上限)會透過 Azure VPN 閘道 完成,以限制 1,250 個字節的 TCP 封包大小。
限制和限制
- 僅支援路由式 VPN 閘道:使用路由式 VPN 閘道。 您也可以使用路由式 VPN 閘道搭配針對「原則型流量選取器」設定的 VPN 連線,如連線至多個原則式 VPN 裝置中所述。
- 基本 SKU 不支援 ExpressRoute-VPN 閘道共存設定。
- BGP 通訊:ExpressRoute 和 VPN 閘道都必須透過 BGP 進行通訊。 請確定閘道子網上的任何 UDR 不包含閘道子網範圍的路由,因為這樣做會干擾 BGP 流量。
- 傳輸路由:針對 ExpressRoute 與 VPN 之間的傳輸路由,Azure VPN 閘道 的 ASN 必須設定為 65515。 Azure VPN 閘道支援 BGP 路由通訊協定。 若要一起運作,請將 Azure VPN 閘道的 ASN 保留為其預設值 65515。 如果您將 ASN 變更為 65515,請重設 VPN 閘道,讓設定生效。
- 網關子網大小:閘道子網必須是 /27 或較短的前置詞(例如 /26 或 /25),或在新增 ExpressRoute 虛擬網路閘道時收到錯誤訊息。
設定設計
將站對站 VPN 設定為 ExpressRoute 的故障轉移路徑
您可以將站對站 VPN 連線設定為 ExpressRoute 的備份。 此設定僅適用於連結至 Azure 私人對等互連路徑的虛擬網路。 對於可透過 Microsoft Azure 對等互連存取的服務,沒有以 VPN 為基礎的容錯移轉解決方案。 ExpressRoute 線路會維持主要連結,只有在 ExpressRoute 線路失敗時,才會流經站對站 VPN 路徑的數據。 若要避免非對稱路由,請將局域網路設定為偏好 ExpressRoute 線路,而不是站對站 VPN,方法是為透過 ExpressRoute 接收的路由設定較高的本機喜好設定。
注意
如果您已啟用 ExpressRoute Microsoft 對等互連,您會在 ExpressRoute 連線上收到 Azure VPN 閘道的公用 IP 位址。 若要將站對站 VPN 連線設定為備份,請設定內部部署網路,讓 VPN 連線路由至因特網。
注意
雖然 ExpressRoute 線路在兩個路由都相同時優先於站對站 VPN,但 Azure 會使用最長的前置詞比對來選擇封包目的地的路由。
設定站對站 VPN 以連線到未透過 ExpressRoute 連線的網站
您可以設定網路,讓某些月臺透過站對站 VPN 直接連線到 Azure,而其他月臺則透過 ExpressRoute 進行連線。
選取要使用的步驟
有兩組不同的程序可供選擇。 您選取的組態程式取決於您是否有想要連線的現有虛擬網路,或是否需要建立新的虛擬網路。
我沒有 VNet,而且需要建立一個。
如果您還沒有虛擬網路,請遵循建立新的虛擬網路並存連線中的步驟,使用 Resource Manager 部署模型建立新的虛擬網路,並設定新的 ExpressRoute 和站對站 VPN 連線。
我已經有 Resource Manager 部署模型 VNet。
如果您已經有具有現有站對站 VPN 連線或 ExpressRoute 連線的虛擬網路,且閘道子網前綴為 /28 或更長(/29、/30 等),則需要刪除現有的閘道。 請遵循為已存在的虛擬網路設定並存連線中的步驟,以刪除閘道,並建立新的 ExpressRoute 和站對站 VPN 連線。
刪除和重新建立閘道會導致跨單位連線停機。 不過,如果 VM 和服務已設定為這樣做,您 VM 和服務仍可透過負載平衡器進行通訊。
建立新的虛擬網路和並存的連線
此程式會引導您建立虛擬網路,並設定並存站對站和 ExpressRoute 連線。
登入 Azure 入口網站。
在畫面左上方,選取 [+ 建立資源] 並搜尋 [虛擬網路]。
選取 [建立],開始設定虛擬網路。
![此螢幕擷取畫面顯示 [建立虛擬網路] 頁面。](media/how-to-configure-coexisting-gateway-portal/create-vnet.png)
在 [基本] 索引標籤上,選取或建立新的 [資源群組] 以儲存虛擬網路。 輸入名稱,然後選取要部署虛擬網路的區域。 選取 [下一步:IP 位址 >] 以設定位址空間和子網路。
![此螢幕擷取畫面顯示用於建立虛擬網路的 [基本] 索引標籤。](media/how-to-configure-coexisting-gateway-portal/vnet-basics.png)
在 [ IP 位址] 索引標籤上,設定虛擬網路位址空間。 定義您想要建立的子網,包括閘道子網。 選取 [檢閱 + 建立],然後選取 [建立] 以部署虛擬網络。 如需有關建立虛擬網路的詳細資訊,請參閱建立虛擬網路。 如需建立子網的詳細資訊,請參閱 建立子網。
重要
閘道子網路必須是 /27 或更短的首碼 (例如 /26 或 /25)。
![此螢幕擷取畫面顯示用於建立虛擬網路的 [IP 位址] 索引標籤。](media/how-to-configure-coexisting-gateway-portal/vnet-ip-addresses.png)
建立站對站 VPN 閘道和區域網路閘道。 如需 VPN 閘道組態的詳細資訊,請參閱 使用站對站連線設定虛擬網路。 只有 VpnGw1、VpnGw2、VpnGw3、Standard 和 HighPerformance VPN 閘道支援 GatewaySku。 基本 SKU 不支援 ExpressRoute-VPN 閘道共存組態。 VpnType 必須是 RouteBased。
設定本機 VPN 裝置以連接到新的 Azure VPN 閘道。 如需關於 VPN 裝置組態的詳細資訊,請參閱 VPN 裝置組態。
如果您要連線到現有的 ExpressRoute 線路,請略過步驟 8 和 9,並跳至步驟 10。 設定 ExpressRoute 線路。 如需設定 ExpressRoute 線路的詳細資訊,請參閱 建立 ExpressRoute 線路。
設定透過 ExpressRoute 線路的 Azure 私人對等互連。 如需透過 ExpressRoute 線路設定 Azure 私人對等互連的詳細資訊,請參閱 設定對等互連。
選取 [+ 建立資源] 並搜尋 [虛擬網路閘道]。 然後選取建立。
選取 ExpressRoute 閘道類型、適當的 SKU,以及要部署閘道的虛擬網路。
將 ExpressRoute 閘道器連結到 ExpressRoute 電路。 完成此步驟之後,會透過 ExpressRoute 建立內部部署網路與 Azure 之間的連線。 如需連結作業的詳細資訊,請參閱 將 Vnet 連結到 ExpressRoute。
設定現有虛擬網路的共存連線
如果您有只有一個虛擬網路閘道的虛擬網路(例如站對站 VPN 閘道),而且您想要新增另一個不同類型的閘道(例如 ExpressRoute 閘道),請檢查閘道子網大小。 如果閘道器子網路是 /27 以上,您可以略過下列步驟,並依照上一節中的步驟新增站對站 VPN 閘道或 ExpressRoute 閘道。 如果閘道器子網路是/28 或/29,您必須先刪除虛擬網路閘道器,並增加閘道器子網路大小。 本節中的步驟示範如何執行該作業。
刪除現有的 ExpressRoute 或站對站 VPN 閘道。
刪除並重新建立具有 /27 或較短前置詞的 GatewaySubnet。
使用站對站聯機 設定虛擬網路,然後 設定 ExpressRoute 閘道。
部署 ExpressRoute 閘道之後,您可以將虛擬網路連結至 ExpressRoute 線路。
將點對站組態新增至 VPN 閘道
您可以遵循使用 Azure 憑證驗證設定點對站 VPN 連線中的指示,將點對站組態新增至並存集。
啟用 ExpressRoute 與 Azure VPN 之間的傳輸路由
如果您想要啟用連線至 ExpressRoute 的其中一個區域網路與另一個連線至站對站 VPN 連線的局域網路之間的連線,您必須設定 Azure 路由伺服器。
下一步
如需有關 ExpressRoute 的詳細資訊,請參閱 ExpressRoute 常見問題集。