Azure VPN Gateway için BGP'yi yapılandırma: CLI

Bu makale, Azure CLI kullanarak şirket içi siteler arası (S2S) VPN bağlantılarında ve sanal ağdan sanal ağa bağlantılarda BGP'yi etkinleştirmenize yardımcı olur. Bu yapılandırmayı Azure portalını veya PowerShell adımlarını kullanarak da oluşturabilirsiniz.

BGP iki veya daha fazla ağ arasında yönlendirme ve ulaşılabilirlik bilgilerini takas etmek üzere İnternet’te yaygın olarak kullanılan standart yönlendirme protokolüdür. BGP, Azure VPN ağ geçitlerinin ve BGP eşleri veya komşular olarak adlandırılan şirket içi VPN cihazlarınızın her iki ağ geçidini de söz konusu ağ geçitlerinden veya yönlendiricilerden geçmesi için kullanılabilirlik ve ulaşılabilirlik konusunda bilgilendirecek "rotalar" değişimine olanak tanır. BGP ayrıca bir BGP ağ geçidinin öğrendiği yolları bir BGP eşliğinden diğer tüm BGP eşliklerine yayarak birden fazla ağ arasında geçiş yönlendirmesi sağlayabilir.

BGP'nin avantajları hakkında daha fazla bilgi edinmek ve BGP kullanmanın teknik gereksinimlerini ve dikkat edilmesi gerekenleri anlamak için bkz . BGP ve Azure VPN Gateway hakkında.

Bu makalenin her bölümü, ağ bağlantınızda BGP'yi etkinleştirmek için temel bir yapı taşı oluşturmanıza yardımcı olur. Üç bölümü de tamamlarsanız (ağ geçidinde BGP'yi, S2S bağlantısını ve sanal ağdan sanal ağa bağlantıyı yapılandırın) Topolojiyi Diyagram 1'de gösterildiği gibi oluşturursunuz.

Diyagram 1

Gereksinimlerinizi karşılayan daha karmaşık bir çok bağlantılı geçiş ağı oluşturmak için bu bölümleri birleştirebilirsiniz.

Önkoşullar

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

VPN ağ geçidi için BGP'yi etkinleştirme

Bu bölüm, diğer iki yapılandırma bölümündeki adımlardan herhangi birini gerçekleştirmeden önce gereklidir. Aşağıdaki yapılandırma adımları, Diyagram 2'de gösterildiği gibi Azure VPN ağ geçidinin BGP parametrelerini ayarlar.

Diyagram 2

TestVNet1’i oluşturma ve yapılandırma

1. Kaynak grubu oluşturma

Aşağıdaki örnek, "eastus" konumunda TestRG1 adlı bir kaynak grubu oluşturur. Sanal ağınızı oluşturmak istediğiniz bölgede zaten bir kaynak grubunuz varsa, bunun yerine bunu kullanabilirsiniz.

az group create --name TestRG1 --location eastus

2. TestVNet1 oluşturma

Aşağıdaki örnek TestVNet1 adlı bir sanal ağ ve üç alt ağ oluşturur: GatewaySubnet, FrontEnd ve BackEnd. Değerleri değiştirdiğinizde, ağ geçidi alt ağınızı her zaman özellikle GatewaySubnet olarak adlandırmanız önemlidir. Başka bir ad kullanırsanız ağ geçidi oluşturma işleminiz başarısız olur.

İlk komut, ön uç adres alanını ve FrontEnd alt alığını oluşturur. İkinci komut, BackEnd alt ağı için ek bir adres alanı oluşturur. Üçüncü ve dördüncü komutlar BackEnd alt ağı ve GatewaySubnet'i oluşturur.

az network vnet create -n TestVNet1 -g TestRG1 --address-prefix 10.11.0.0/16 --subnet-name FrontEnd --subnet-prefix 10.11.0.0/24

az network vnet update -n TestVNet1 --address-prefixes 10.11.0.0/16 10.12.0.0/16 -g TestRG1
 
az network vnet subnet create --vnet-name TestVNet1 -n BackEnd -g TestRG1 --address-prefix 10.12.0.0/24
 
az network vnet subnet create --vnet-name TestVNet1 -n GatewaySubnet -g TestRG1 --address-prefix 10.12.255.0/27

BGP parametreleriyle TestVNet1 için VPN ağ geçidi oluşturma

1. Genel IP adresini oluşturma

Genel bir IP adresi isteyin. Genel IP adresi, sanal ağınız için oluşturduğunuz VPN ağ geçidine ayrılır.

az network public-ip create -n GWPubIP -g TestRG1 --allocation-method Dynamic 

2. AS numarasıyla VPN ağ geçidi oluşturma

TestVNet1 için sanal ağ geçidini oluşturun. BGP, Rota Tabanlı VPN ağ geçidi gerektirir. TestVNet1 için otonom sistem numarasını (ASN) ayarlamak için ek parametreye -Asn de ihtiyacınız vardır. Bir ağ geçidinin oluşturulması, seçili ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir.

Parametresini --no-wait kullanarak bu komutu çalıştırırsanız herhangi bir geri bildirim veya çıkış görmezsiniz. --no-wait parametresi, ağ geçidinin arka planda oluşturulmasını sağlar. Bu, VPN ağ geçidinin hemen oluşturulduğu anlamına gelmez.

az network vnet-gateway create -n VNet1GW -l eastus --public-ip-address GWPubIP -g TestRG1 --vnet TestVNet1 --gateway-type Vpn --sku HighPerformance --vpn-type RouteBased --asn 65010 --no-wait

Ağ geçidi oluşturulduktan sonra, bgp ile bir şirket içi bağlantı veya sanal ağdan sanal ağa bağlantı kurmak için bu ağ geçidini kullanabilirsiniz.

3. Azure BGP eş IP adresini alma

Ağ geçidi oluşturulduktan sonra Azure VPN ağ geçidinde BGP eş IP adresini almanız gerekir. Bu adres, VPN ağ geçidini şirket içi VPN cihazlarınız için BGP eş olarak yapılandırmak için gereklidir.

Aşağıdaki komutu çalıştırın.

az network vnet-gateway list -g TestRG1

Çıkışın üst kısmındaki bgpSettings bölümü not edin. Bunu kullanacaksınız

"bgpSettings": { 
      "asn": 65010, 
      "bgpPeeringAddress": "10.12.255.30", 
      "peerWeight": 0 
    }

BgpPeeringAddress'in IP adresi olarak görüntülendiğini görmüyorsanız ağ geçidiniz hala yapılandırılıyordur. Ağ geçidi tamamlandığında yeniden deneyin.

BGP ile şirket içi ağlar arası bağlantı kurma

Şirket içi bağlantı kurmak için şirket içi VPN cihazınızı temsil eden bir yerel ağ geçidi oluşturmanız gerekir. Ardından Azure VPN ağ geçidini yerel ağ geçidine bağlarsınız. Bu adımlar diğer bağlantıları oluşturmaya benzer olsa da, Diyagram 3'te gösterildiği gibi BGP yapılandırma parametresini belirtmek için gereken ek özellikleri içerir.

Diyagram 3

Yerel ağ geçidini oluşturma ve yapılandırma

Bu alıştırma, diyagramda gösterilen yapılandırmayı oluşturmaya devam eder. Değerleri, yapılandırma için kullanmak istediğiniz değerlerle değiştirdiğinizden emin olun. Yerel ağ geçitleriyle çalışırken aşağıdakileri göz önünde bulundurun:

• Yerel ağ geçidi VPN ağ geçidiyle aynı konumda ve kaynak grubunda veya farklı bir konumda ve kaynak grubunda olabilir. Bu örnekte farklı konumlardaki farklı kaynak gruplarındaki ağ geçitleri gösterilmektedir.
• Yerel ağ geçidi için bildirmeniz gereken en düşük ön ek, VPN cihazınızda bgp eş IP adresinizin ana bilgisayar adresidir. Bu durumda, 10.51.255.254/32'nin /32 ön ekidir.
• Bu ağa bağlanmak için BGP kullanıyorsanız ön eki boş bırakabilirsiniz. Azure VPN ağ geçidi, BGP eş IP adresinizin bir yolunu ilgili IPsec tüneline dahili olarak ekler.
• Hatırlatmak gerekirse, şirket içi ağlarınızla Azure sanal ağı arasında farklı BGP ASN'leri kullanmanız gerekir. Bunlar aynıysa, şirket içi VPN cihazlarınız diğer BGP komşularıyla eşlemek için ASN'yi zaten kullanıyorsa sanal ağ ASN'nizi değiştirmeniz gerekir.

Devam etmeden önce bu alıştırmanın VPN ağ geçidiniz için BGP'yi etkinleştirme bölümünü tamamladığınızdan emin olun. Bu örnekte yeni bir kaynak grubu oluşturduğunuza dikkat edin. Ayrıca, yerel ağ geçidi için ek iki parametreye dikkat edin: Asn ve BgpPeerAddress.

az group create -n TestRG5 -l westus 
 
az network local-gateway create --gateway-ip-address 23.99.221.164 -n Site5 -g TestRG5 --local-address-prefixes 10.51.255.254/32 --asn 65050 --bgp-peering-address 10.51.255.254

Sanal ağ geçidini ve yerel ağ geçidini bağlama

Bu adımda, TestVNet1'den Site5'e bağlantıyı oluşturursunuz. Bu bağlantı için BGP'yi etkinleştirmek için parametresini belirtmelisiniz --enable-bgp .

Bu örnekte, sanal ağ geçidi ve yerel ağ geçidi farklı kaynak gruplarında yer alır. Ağ geçitleri farklı kaynak gruplarında olduğunda, sanal ağlar arasında bağlantı kurmak için iki ağ geçidinin kaynak kimliğinin tamamını belirtmeniz gerekir.

1. VNet1GW kaynak kimliğini alma

VNet1GW kaynak kimliğini almak için aşağıdaki komutun çıkışını kullanın:

az network vnet-gateway show -n VNet1GW -g TestRG1

Çıktıda satırı bulun "id": . Sonraki bölümde bağlantıyı oluşturmak için tırnak işaretleri içindeki değerlere ihtiyacınız vardır.

Örnek çıkış:

{ 
  "activeActive": false, 
  "bgpSettings": { 
    "asn": 65010, 
    "bgpPeeringAddress": "10.12.255.30", 
    "peerWeight": 0 
  }, 
  "enableBgp": true, 
  "etag": "W/\"<your etag number>\"", 
  "gatewayDefaultSite": null, 
  "gatewayType": "Vpn", 
  "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW",

Ardından gelen değerleri "id": Not Defteri gibi bir metin düzenleyicisine kopyalayarak bağlantınızı oluştururken kolayca yapıştırabilirsiniz.

"id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"

2. Site5'in kaynak kimliğini alma

Çıktıdan Site5 kaynak kimliğini almak için aşağıdaki komutu kullanın:

az network local-gateway show -n Site5 -g TestRG5

3. TestVNet1-Site5 bağlantısını oluşturma

Bu adımda, TestVNet1'den Site5'e bağlantıyı oluşturursunuz. Daha önce açıklandığı gibi, aynı Azure VPN ağ geçidi için hem BGP hem de BGP olmayan bağlantılara sahip olmak mümkündür. BGP bağlantı özelliğinde etkinleştirilmediği sürece, BGP parametreleri her iki ağ geçidinde de zaten yapılandırılmış olsa bile Azure bu bağlantı için BGP'yi etkinleştirmez. Abonelik kimliklerini kendi kimliklerinizle değiştirin.

az network vpn-connection create -n VNet1ToSite5 -g TestRG1 --vnet-gateway1 /subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW --enable-bgp -l eastus --shared-key "abc123" --local-gateway2 /subscriptions/<subscription ID>/resourceGroups/TestRG5/providers/Microsoft.Network/localNetworkGateways/Site5

Şirket içi cihaz yapılandırması

Aşağıdaki örnek, bu alıştırma için şirket içi VPN cihazınızda BGP yapılandırma bölümüne girdiğiniz parametreleri listeler:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Bağlantı birkaç dakika içerisinde kurulacaktır. BGP eşleme oturumu, IPsec bağlantısı kurulduktan sonra başlar.

BGP ile sanal ağdan sanal ağa bağlantı kurma

Bu bölüm, Diyagram 4'te gösterildiği gibi BGP ile sanal ağdan sanal ağa bağlantı ekler.

Diyagram 4

Aşağıdaki yönergeler, önceki bölümlerde yer alan adımlardan devam eder. TESTVNet1 ve VPN ağ geçidini BGP ile oluşturmak ve yapılandırmak için VPN ağ geçidiniz için BGP'yi etkinleştirme bölümünü tamamlamanız gerekir.

TestVNet2 ve VPN ağ geçidi oluşturma

Yeni sanal ağın IP adresi alanı olan TestVNet2'nin sanal ağ aralıklarınızın hiçbiriyle çakışmadığından emin olmak önemlidir.

Bu örnekte, sanal ağlar aynı aboneliğe aittir. Farklı abonelikler arasında sanal ağdan sanal ağa bağlantılar ayarlayabilirsiniz. Daha fazla bilgi edinmek için bkz . Sanal ağdan sanal ağa bağlantı yapılandırma. BGP'yi etkinleştirmek için bağlantıları oluştururken eklediğinizden -EnableBgp $True emin olun.

1. Yeni kaynak grubu oluşturma

az group create -n TestRG2 -l eastus

2. Yeni kaynak grubunda TestVNet2 oluşturma

İlk komut, ön uç adres alanını ve FrontEnd alt alığını oluşturur. İkinci komut, BackEnd alt ağı için ek bir adres alanı oluşturur. Üçüncü ve dördüncü komutlar BackEnd alt ağı ve GatewaySubnet'i oluşturur.

az network vnet create -n TestVNet2 -g TestRG2 --address-prefix 10.21.0.0/16 --subnet-name FrontEnd --subnet-prefix 10.21.0.0/24

az network vnet update -n TestVNet2 --address-prefixes 10.21.0.0/16 10.22.0.0/16 -g TestRG2
 
az network vnet subnet create --vnet-name TestVNet2 -n BackEnd -g TestRG2 --address-prefix 10.22.0.0/24
 
az network vnet subnet create --vnet-name TestVNet2 -n GatewaySubnet -g TestRG2 --address-prefix 10.22.255.0/27

3. Genel IP adresini oluşturma

Genel bir IP adresi isteyin. Genel IP adresi, sanal ağınız için oluşturduğunuz VPN ağ geçidine ayrılır.

az network public-ip create -n GWPubIP2 -g TestRG2 --allocation-method Dynamic

4. AS numarasıyla VPN ağ geçidi oluşturma

TestVNet2 için sanal ağ geçidi oluşturun. Azure VPN ağ geçitlerinizde varsayılan ASN'yi geçersiz kılmanız gerekir. BGP ve aktarım yönlendirmesini etkinleştirmek için bağlı sanal ağların ASN'lerinin farklı olması gerekir.

az network vnet-gateway create -n VNet2GW -l eastus --public-ip-address GWPubIP2 -g TestRG2 --vnet TestVNet2 --gateway-type Vpn --sku Standard --vpn-type RouteBased --asn 65020 --no-wait

TestVNet1 ve TestVNet2 ağ geçitlerini bağlama

Bu adımda, TestVNet1'den Site5'e bağlantıyı oluşturursunuz. Bu bağlantı için BGP'yi etkinleştirmek için parametresini --enable-bgp belirtmeniz gerekir.

Aşağıdaki örnekte, sanal ağ geçidi ve yerel ağ geçidi farklı kaynak gruplarında yer alır. Ağ geçitleri farklı kaynak gruplarında olduğunda, sanal ağlar arasında bağlantı kurmak için iki ağ geçidinin kaynak kimliğinin tamamını belirtmeniz gerekir.

1. VNet1GW kaynak kimliğini alma

Aşağıdaki komutun çıktısından VNet1GW kaynak kimliğini alın:

az network vnet-gateway show -n VNet1GW -g TestRG1

Ağ geçidi kaynağı için örnek değer:

"/subscriptions/<subscription ID value>/resourceGroups/TestRG2/providers/Microsoft.Network/virtualNetworkGateways/VNet2GW"

2. VNet2GW kaynak kimliğini alma

Aşağıdaki komutun çıktısından VNet2GW kaynak kimliğini alın:

az network vnet-gateway show -n VNet2GW -g TestRG2

3. Bağlantıları oluşturma

TestVNet1'den TestVNet2'ye ve TestVNet2'den TestVNet1'e bağlantıyı oluşturun. Bu komutlar kaynak kimliklerini kullanır. Bu alıştırmada, kaynak kimliğinin çoğu zaten örnekte yer alır. Abonelik kimliği değerlerini kendi kimlik değerlerinizle değiştirmeyi unutmayın. Abonelik kimliği aynı komutta birden çok yerde kullanılır. Üretim için bu komutu kullanırken, başvuruda bulunmakta olduğunuz her nesne için kaynak kimliğinin tamamını değiştireceksiniz.

az network vpn-connection create -n VNet1ToVNet2 -g TestRG1 --vnet-gateway1 /subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW --enable-bgp -l eastus --shared-key "abc123" --vnet-gateway2 /subscriptions/<subscription ID>/resourceGroups/TestRG2/providers/Microsoft.Network/virtualNetworkGateways/VNet2GW

az network vpn-connection create -n VNet2ToVNet1 -g TestRG2 --vnet-gateway1 /subscriptions/<subscription ID>/resourceGroups/TestRG2/providers/Microsoft.Network/virtualNetworkGateways/VNet2GW --enable-bgp -l eastus --shared-key "abc123" --vnet-gateway2 /subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW

Bu adımları tamamladıktan sonra bağlantı birkaç dakika içinde kurulur. BGP eşleme oturumu sanal ağdan sanal ağa bağlantı tamamlandıktan sonra çalışır durumda olur.

Sonraki adımlar

BGP hakkında daha fazla bilgi için bkz . BGP ve VPN Gateway hakkında.