Configurar conexões coexistentes de Rota Expressa e Site a Site usando o portal do Azure

Este artigo ajuda você a configurar conexões ExpressRoute e Site-to-Site VPN que coexistem. A capacidade de configurar o ExpressRoute e a Rede de VPNs tem várias vantagens. Você pode configurar a VPN Site a Site como um caminho de failover seguro para a Rota Expressa ou usar VPNs Site a Site para se conectar a sites que não estão conectados por meio da Rota Expressa. Abordamos os passos para configurar ambos os cenários neste artigo. Este artigo aplica-se ao modelo de implementação clássica e do Resource Manager.

A configuração de ligações de Rede de VPNs e ExpressRoute coexistentes tem várias vantagens:

  • Pode configurar uma Rede de VPNs como um caminho de ativação pós-falha para o ExpressRoute.
  • Como alternativa, você pode usar VPNs Site a Site para se conectar a sites que não estão conectados por meio da Rota Expressa.

São abrangidos neste artigo os passos para configurar ambos os cenários. Você pode configurar qualquer gateway primeiro. Normalmente, você não incorre em nenhum tempo de inatividade ao adicionar um novo gateway ou conexão de gateway.

Nota

  • Se você quiser criar uma VPN Site a Site por meio de uma conexão de Rota Expressa, consulte Site a site sobre emparelhamento da Microsoft.
  • Para a coexistência do Gateway ExpressRoute-VPN, se você já implantou uma Rota Expressa, não é necessário criar uma rede virtual e uma sub-rede de gateway, pois esses são pré-requisitos na criação de uma Rota Expressa.
  • Para o Gateway de Rota Expressa Criptografada, o MSS Clamping é feito pelo Gateway de VPN do Azure para fixar o tamanho do pacote TCP em 1250 bytes

Limites e limitações

  • É apenas suportado o Gateway de VPN baseado na rota. Você deve usar um gateway VPN baseado em rota. Você também pode usar um gateway VPN baseado em rota com uma conexão VPN configurada para "seletores de tráfego baseados em política", conforme descrito em Conectar-se a vários dispositivos VPN baseados em política.
  • As configurações coexistentes do ExpressRoute-VPN Gateway não são suportadas no Basic SKU.
  • Os gateways ExpressRoute e VPN devem ser capazes de se comunicar entre si via BGP para funcionar corretamente. Se estiver usando um UDR na sub-rede do gateway, certifique-se de que ele não inclua uma rota para o próprio intervalo de sub-rede do gateway, pois isso interferirá no tráfego BGP.
  • Se você quiser usar o roteamento de trânsito entre a Rota Expressa e a VPN, o ASN do Gateway de VPN do Azure deve ser definido como 65515. O Gateway de VPN do Azure dá suporte ao protocolo de roteamento BGP. Para que o ExpressRoute e a VPN do Azure trabalhem juntos, você deve manter o Número do Sistema Autônomo do gateway de VPN do Azure em seu valor padrão, 65515. Se você selecionou anteriormente um ASN diferente de 65515 e alterou a configuração para 65515, deverá redefinir o gateway de VPN para que a configuração entre em vigor.
  • A sub-rede do gateway deve ser /27 ou um prefixo mais curto, como /26, /25, ou você recebe uma mensagem de erro quando adiciona o gateway de rede virtual ExpressRoute.

Estruturas de configuração

Configurar uma Rede de VPNs como um caminho de ativação pós-falha para o ExpressRoute

Pode configurar uma ligação de Rede de VPNs como uma cópia de segurança para o ExpressRoute. Esta ligação aplica-se apenas às redes virtuais ligadas ao caminho de peering privado do Azure. Não há nenhuma solução de failover baseada em VPN para serviços acessíveis por meio do emparelhamento da Microsoft do Azure. O circuito ExpressRoute é sempre a ligação primária. Os dados percorrem o caminho da Rede de VPNs apenas se o circuito ExpressRoute falhar. Para evitar o encaminhamento assimétrico, a sua configuração de rede local também deve preferir o circuito do ExpressRoute em vez da Rede de VPNs. Pode preferir o caminho do ExpressRoute ao definir uma preferência local mais elevada para as rotas que receberam o ExpressRoute.

Nota

Se você tiver o Emparelhamento Microsoft de Rota Expressa habilitado, poderá receber o endereço IP público do gateway de VPN do Azure na conexão de Rota Expressa. Para configurar sua conexão VPN site a site como um backup, você deve configurar sua rede local para que a conexão VPN seja roteada para a Internet.

Nota

Apesar de o circuito do ExpressRoute ser preferível face à Rede de VPNs quando ambas as rotas são as mesmas, o Azure irá utilizar a correspondência de prefixo mais longo para escolher a rota de acordo com o destino do pacote.

Diagrama de uma conexão VPN site a site usada como backup para a Rota Expressa.

Configurar uma Rede de VPNs para se ligar a sites não ligados através do ExpressRoute

Pode configurar a sua rede para um local no qual alguns sites se ligam diretamente ao Azure através da Rede de VPNs e alguns sites estabelecem ligação através do ExpressRoute.

Diagrama de uma conexão VPN site a site coexistindo com uma conexão ExpressRoute para dois sites diferentes.

Selecionar os passos a utilizar

Existem dois conjuntos de procedimentos diferentes à escolha. O procedimento de configuração que selecionar depende do facto de pretender ligar-se a uma rede virtual já existente ou criar uma nova.

  • Não tenho uma VNet e preciso de criar uma.

    Se ainda não tem uma rede virtual, este procedimento orienta-o durante a criação de uma rede virtual nova com o modelo de implementação Resource Manager e a criação de ligações de Rede de VPNs e ExpressRoute novas. Para configurar uma rede virtual, siga os passos em Para criar uma rede virtual nova e ligações coexistentes.

  • Já tenho uma VNet do modelo de implementação Resource Manager.

    Pode já ter uma rede virtual no local com uma ligação ExpressRoute ou de Rede de VPNs existente. Nesse cenário, se o prefixo da sub-rede do gateway for /28 ou mais (/29, /30, etc.), será necessário excluir o gateway existente. A secção Para configurar ligações coexistentes a uma VNet já existente orienta-o através da eliminação do gateway e, em seguida, da criação de novas ligações ExpressRoute e de Rede de VPNs.

    Se você excluir e recriar seu gateway, terá tempo de inatividade para suas conexões entre locais. No entanto, suas VMs e serviços podem se comunicar por meio do balanceador de carga enquanto você configura seu gateway, se estiverem configurados para isso.

Para criar uma nova rede virtual e ligações coexistentes

Este procedimento orienta você na criação de uma VNet e conexões Site-to-Site e ExpressRoute que coexistem.

  1. Inicie sessão no portal do Azure.

  2. No canto superior esquerdo da tela, selecione + Criar um recurso e procure por Rede virtual.

  3. Selecione Criar para começar a configurar a rede virtual.

    Captura de ecrã da página de criação de uma rede virtual.

  4. Na guia Noções básicas, selecione ou crie um novo grupo de recursos para armazenar a rede virtual. Em seguida, insira o nome e selecione a região para implantar a rede virtual. Selecione Next: IP Addresses > para configurar o espaço de endereço e as sub-redes.

    Captura de ecrã do separador Noções básicas para criar uma rede virtual.

  5. Na guia Endereços IP , configure o espaço de endereço da rede virtual. Em seguida, defina as sub-redes que deseja criar, incluindo a sub-rede do gateway. Selecione Rever + criar e, em seguida , Criar* para implementar a rede virtual. Para obter mais informações sobre como criar uma rede virtual, veja Criar uma rede virtual. Para obter mais informações sobre como criar sub-redes, veja Criar uma sub-rede

    Importante

    A sub-rede do Gateway tem de ser /27 ou ter um prefixo mais curto (como /26 ou /25).

    Captura de ecrã do separador Endereços IP para criar uma rede virtual.

  6. Crie o gateway VPN site a site e o gateway de rede local. Para obter mais informações sobre a configuração do Gateway de VPN, veja Configurar uma VNet com uma ligação de Rede de VPNs. O GatewaySku só é suportado para VpnGw1, VpnGw2, VpnGw3, Standard e nos gateways de VPN HighPerformance. As configurações coexistentes do ExpressRoute-VPN Gateway não são suportadas na SKU básica. O VpnType tem de ser RouteBased.

  7. Configure o seu dispositivo VPN local para estabelecer ligação com o novo gateway de VPN do Azure. Para obter mais informações sobre a configuração do dispositivo VPN, veja Configuração do Dispositivo VPN.

  8. Se você estiver se conectando a um circuito de Rota Expressa existente, pule as etapas 8 e 9 e pule para a etapa 10. Configure circuitos do ExpressRoute. Para obter mais informações sobre configurar o circuito do ExpressRoute, veja Criar um circuito do ExpressRoute.

  9. Configure o peering privado do Azure no circuito do ExpressRoute. Para obter mais informações sobre como configurar o peering privado do Azure no circuito do ExpressRoute, veja Configurar peering

  10. Selecione + Criar um recurso e procure Gateway de rede virtual. Depois, selecione Criar.

  11. Selecione o tipo de gateway ExpressRoute, a SKU apropriada e a rede virtual na qual implantar o gateway.

    Captura de tela da criação de um gateway de rede virtual para a Rota Expressa.

  12. Ligue o gateway ExpressRoute ao circuito ExpressRoute. Quando tiver concluído este passo, a ligação entre a sua rede no local e do Azure, através do ExpressRoute, é estabelecida. Para obter mais informações sobre a operação de ligação, veja Ligar VNets ao ExpressRoute.

Para configurar ligações coexistentes a uma VNet já existente

Se você tiver uma rede virtual que tenha apenas um gateway de rede virtual, por exemplo, um gateway VPN Site a Site e quiser adicionar outro gateway de um tipo diferente, por exemplo, gateway de Rota Expressa, verifique o tamanho da sub-rede do gateway. Se a sub-rede do gateway for /27 ou maior, você poderá ignorar as etapas a seguir e seguir as etapas na seção anterior para adicionar um gateway VPN Site a Site ou um gateway de Rota Expressa. Se a sub-rede do gateway for /28 ou /29, primeiro tem de eliminar o gateway de rede virtual e aumentar o tamanho da sub-rede do gateway. Os passos nesta secção mostram-lhe como o fazer.

  1. Exclua a Rota Expressa ou o gateway VPN site a site existente.

  2. Exclua e recrie o GatewaySubnet para ter o prefixo /27 ou menor.

  3. Configure uma VNet com uma conexão Site-to-Site e, em seguida, Configure o gateway ExpressRoute.

  4. Depois que o gateway da Rota Expressa for implantado, você poderá vincular a rede virtual ao circuito da Rota Expressa.

Para adicionar uma configuração ponto a site para o gateway de VPN

Você pode adicionar uma configuração Ponto a Site ao seu conjunto coexistente seguindo as instruções em Configurando a conexão VPN Ponto a Site usando a autenticação de certificado do Azure

Para habilitar o roteamento de trânsito entre a Rota Expressa e a VPN do Azure

Se quiser habilitar a conectividade entre uma de suas redes locais conectada à Rota Expressa e outra de sua rede local conectada a uma conexão VPN site a site, você precisará configurar o Servidor de Rota do Azure.

Próximos passos

Para obter mais informações acerca do ExpressRoute, veja as FAQs do ExpressRoute.