Azure ExpressRoute kullanarak Azure Stack Hub ile Azure arasında bağlantı kurun

  • Makale

Bu makalede, Bir Azure Stack Hub sanal ağını Microsoft Azure ExpressRoute doğrudan bağlantısı kullanarak bir Azure sanal ağına nasıl bağlayacağınız açıklanmaktadır.

Bu makaleyi öğretici olarak kullanabilir ve örnekleri kullanarak aynı test ortamını ayarlayabilirsiniz. İsterseniz, kendi ExpressRoute ortamınızı ayarlamada size yol gösteren bir kılavuz olarak makaleyi okuyabilirsiniz.

Genel bakış, varsayımlar ve önkoşullar

Azure ExpressRoute, bir bağlantı sağlayıcısı tarafından sağlanan özel bağlantı üzerinden şirket içi ağlarınızı Microsoft bulutuna genişletmenize olanak tanır. ExpressRoute, genel İnternet üzerinden yapılan bir VPN bağlantısı değildir.

Azure ExpressRoute hakkında daha fazla bilgi için bkz. ExpressRoute'a genel bakış.

Varsayımlar

Bu makalede şunlar varsayılır:

  • Azure hakkında çalışan bir bilgiye sahipsiniz.
  • Azure Stack Hub hakkında temel bilgilere sahipsiniz.
  • Ağ hakkında temel bilgilere sahipsiniz.

Önkoşullar

ExpressRoute kullanarak Azure Stack Hub ve Azure'a bağlanmak için aşağıdaki gereksinimleri karşılamanız gerekir:

  • Bağlantı sağlayıcısı aracılığıyla sağlanan bir ExpressRoute bağlantı hattı.
  • Azure'da ExpressRoute bağlantı hattı ve sanal ağlar oluşturmak için bir Azure aboneliği.
  • Şu şekilde olması gereken bir yönlendirici:
    • LAN arabirimi ile Azure Stack Hub çok kiracılı ağ geçidi arasında siteden siteye VPN bağlantılarını destekleyin.
    • Azure Stack Hub dağıtımınızda birden fazla kiracı varsa birden çok VRF (Sanal Yönlendirme ve İletme) oluşturma desteği.
  • Şu donanıma sahip bir yönlendirici:
    • ExpressRoute bağlantı hattına bağlı bir WAN bağlantı noktası.
    • Azure Stack Hub çok kiracılı ağ geçidine bağlı bir LAN bağlantı noktası.

ExpressRoute ağ mimarisi

Aşağıdaki şekilde, bu makaledeki örnekleri kullanarak ExpressRoute kurulumunu tamamladıktan sonra Azure Stack Hub ve Azure ortamları gösterilmektedir:

ExpressRoute ağı

Aşağıdaki şekilde birden çok kiracının ExpressRoute yönlendiricisi aracılığıyla Azure Stack Hub altyapısından Azure'a nasıl bağlanacakları gösterilmektedir:

ExpressRoute ile çok kiracılı bağlantılar

Bu makaledeki örnek, ExpressRoute özel eşlemesini kullanarak Azure Stack Hub'ı Azure'a bağlamak için bu diyagramda gösterilen aynı çok kiracılı mimariyi kullanır. Bağlantı, Azure Stack Hub'daki sanal ağ geçidinden ExpressRoute yönlendiricisine siteden siteye VPN bağlantısı kullanılarak yapılır.

Bu makaledeki adımlarda, Azure Stack Hub'daki iki farklı kiracıdan Azure'daki ilgili sanal ağlara iki sanal ağ arasında uçtan uca bağlantı oluşturma adımları gösterilmektedir. İki kiracı ayarlamak isteğe bağlıdır; Bu adımları tek bir kiracı için de kullanabilirsiniz.

Azure Stack Hub'ı yapılandırma

İlk kiracı için Azure Stack Hub ortamını ayarlamak için kılavuz olarak aşağıdaki adımları kullanın. Birden fazla kiracı ayarlanıyorsa şu adımları yineleyin:

Not

Bu adımlar, Azure Stack Hub portalını kullanarak kaynak oluşturmayı gösterir, ancak PowerShell'i de kullanabilirsiniz.

Azure Stack Hub ağ kurulumu

Başlamadan önce

Azure Stack Hub'ı yapılandırmaya başlamadan önce şunları yapmanız gerekir:

Azure Stack Hub'da ağ kaynakları oluşturma

Bir kiracı için Azure Stack Hub'da gerekli ağ kaynaklarını oluşturmak için aşağıdaki yordamları kullanın.

Sanal ağ ve VM alt ağı oluşturma

  1. Azure Stack Hub kullanıcı portalında oturum açın.

  2. Portalda + Kaynak oluştur'u seçin.

  3. Azure Market altında Ağ'ı seçin.

  4. Öne Çıkanlar'ın altında Sanal ağ'ı seçin.

  5. Sanal ağ oluştur'un altında, aşağıdaki tabloda gösterilen değerleri uygun alanlara girin:

    Alan Değer
    Ad Kiracı1VNet1
    Adres alanı 10.1.0.0/16
    Alt ağ adı Tenant1-Sub1
    Alt ağ adres aralığı 10.1.1.0/24

  6. Daha önce oluşturduğunuz aboneliğin Abonelik alanında doldurulduğunu görmeniz gerekir. Kalan alanlar için:

    • Kaynak grubu'nun altında Yeni oluştur'u seçerek yeni bir kaynak grubu oluşturun veya zaten bir kaynak grubunuz varsa Var olanı kullan'ı seçin.
    • Varsayılan Konumu doğrulayın.
    • Oluştur’a tıklayın.
    • (İsteğe bağlı) Panoya sabitle'ye tıklayın.

Ağ geçidi alt ağını oluşturma

  1. Sanal ağ'ın altında Kiracı1VNet1'i seçin.
  2. AYARLAR'ın altında Alt ağlar'ı seçin.
  3. Sanal ağa bir ağ geçidi alt ağı eklemek için + Ağ geçidi alt ağı'nı seçin.
  4. Alt ağın adı varsayılan olarak GatewaySubnet şeklinde ayarlanır. Ağ geçidi alt ağları özel bir durum olup düzgün çalışması için bu adı kullanmalıdır.
  5. Adres aralığının10.1.0.0/24 olduğunu doğrulayın.
  6. Ağ geçidi alt akını oluşturmak için Tamam'a tıklayın.

Sanal ağ geçidini oluşturma

  1. Azure Stack Hub kullanıcı portalında + Kaynak oluştur'a tıklayın.
  2. Azure Market altında Ağ'ı seçin.
  3. Ağ kaynakları listesinden Sanal ağ geçidi’ni seçin.
  4. Ad alanına GW1 girin.
  5. Sanal ağ'ı seçin.
  6. Açılan listeden Tenant1VNet1'i seçin.
  7. Genel IP adresi'ni, ardından Genel IP adresi seç'i seçin ve ardından Yeni oluştur'a tıklayın.
  8. Ad alanına GW1-PiP yazın ve Tamam'a tıklayın.
  9. VPN türü için varsayılan olarak yol tabanlı seçili olmalıdır. Bu ayarı tutun.
  10. Abonelik ve Konum seçeneklerinin doğruluğunu onaylayın. Oluştur’a tıklayın.

Yerel ağ geçidini oluşturma

Yerel ağ geçidi kaynağı, VPN bağlantısının diğer ucundaki uzak ağ geçidini tanımlar. Bu örnekte, bağlantının uzak ucu ExpressRoute yönlendiricisinin LAN alt arabirimidir. Önceki diyagramda yer alan Kiracı 1 için uzak adres 10.60.3.255'tir.

  1. Azure Stack Hub kullanıcı portalında oturum açın ve + Kaynak oluştur'u seçin.

  2. Azure Market altında Ağ'ı seçin.

  3. Kaynak listesinden yerel ağ geçidi’ni seçin.

  4. Ad alanına ER-Router-GW yazın.

  5. IP adresi alanı için önceki şekildekine bakın. Kiracı 1 için ExpressRoute yönlendirici LAN alt arabiriminin IP adresi 10.60.3.255'tir. Kendi ortamınız için yönlendiricinizin ilgili arabiriminin IP adresini girin.

  6. Adres Alanı alanına, Azure'da bağlanmak istediğiniz sanal ağların adres alanını girin. Kiracı 1 için alt ağlar aşağıdaki gibidir:

    • 192.168.2.0/24, Azure'daki merkez sanal ağıdır.
    • 10.100.0.0/16, Azure'daki uç sanal ağıdır.

    Önemli

    Bu örnekte, Azure Stack Hub ağ geçidi ile ExpressRoute yönlendiricisi arasındaki siteden siteye VPN bağlantısı için statik yollar kullandığınız varsayılır.

  7. Aboneliğinizin, Kaynak Grubunuzun ve Konumunuzun doğru olduğunu doğrulayın. Ardından Oluştur’u seçin.

Bağlantı oluşturma

  1. Azure Stack Hub kullanıcı portalında + Kaynak oluştur'u seçin.
  2. Azure Market altında Ağ'ı seçin.
  3. Kaynak listesinden Bağlantı’yı seçin.
  4. Temel Bilgiler'in altında Bağlantı türü olarak Siteden siteye (IPSec) öğesini seçin.
  5. Abonelik, Kaynak grubu ve Konum'u seçin. Tamam'a tıklayın.
  6. Ayarlar'ın altında Sanal ağ geçidi'ni ve ardından GW1'i seçin.
  7. Yerel ağ geçidi'ni ve ardından ER Router GW'yi seçin.
  8. Bağlantı adı alanına ConnectToAzure yazın.
  9. Paylaşılan anahtar (PSK) alanına abc123 girin ve Tamam'ı seçin.
  10. Özet'in altında Tamam'ı seçin.

Sanal ağ geçidi genel IP adresini alma

Sanal ağ geçidini oluşturduktan sonra ağ geçidinin genel IP adresini alabilirsiniz. Dağıtımınız için daha sonra ihtiyacınız olması durumunda bu adresi not alın. Dağıtımınıza bağlı olarak, bu adres İç IP adresi olarak kullanılır.

  1. Azure Stack Hub kullanıcı portalında Tüm kaynaklar'ı seçin.
  2. Tüm kaynaklar'ın altında, örnekteki GW1 olan sanal ağ geçidini seçin.
  3. Sanal ağ geçidi altında, kaynak listesinden Genel Bakış'ı seçin. Alternatif olarak Özellikler'i de seçebilirsiniz.
  4. Not almak istediğiniz IP adresi Genel IP adresi altında listelenir. Örnek yapılandırma için bu adres 192.68.102.1'dir.

Sanal makine (VM) oluşturma

VPN bağlantısı üzerinden veri trafiğini test etmek için VM'lerin Azure Stack Hub VNet'inde veri gönderip alması gerekir. Bir VM oluşturun ve sanal ağınız için VM alt ağına dağıtın.

  1. Azure Stack Hub kullanıcı portalında + Kaynak oluştur'u seçin.

  2. Azure Market altında İşlem'i seçin.

  3. VM görüntüleri listesinde Datacenter Eval görüntüsünü Windows Server 2016 seçin.

    Not

    Bu makale için kullanılan görüntü kullanılamıyorsa Azure Stack Hub operatörünüzden farklı bir Windows Server görüntüsü sağlamasını isteyin.

  4. Sanal makine oluştur bölümünde Temel Bilgiler'i seçin, ardından Ad olarak VM01 yazın.

  5. Geçerli bir kullanıcı adı ve parola girin. Oluşturulduktan sonra VM'de oturum açmak için bu hesabı kullanacaksınız.

  6. Abonelik, Kaynak grubu ve Konum belirtin. Tamam’ı seçin.

  7. Boyut seçin'in altında bu örnek için bir VM boyutu seçin ve ardından Seç'i seçin.

  8. Ayarlar'ın altında şunları onaylayın:

    • Sanal ağ Tenant1VNet1'dir.
    • Alt ağ 10.1.1.0/24 olarak ayarlanır.

    Varsayılan ayarları kullanın ve Tamam seçeneğine tıklayın.

  9. Özet'in altında VM yapılandırmasını gözden geçirin ve Tamam'a tıklayın.

Daha fazla kiracı eklemek için aşağıdaki bölümlerde izlediğiniz adımları yineleyin:

Örnek olarak Kiracı 2'yi kullanıyorsanız, çakışmaları önlemek için IP adreslerini değiştirmeyi unutmayın.

Ağ geçidi geçişi için NAT VM'yi yapılandırma

Önemli

Bu bölüm yalnızca ASDK dağıtımlarına yöneliktir. Nat, çok düğümlü dağıtımlar için gerekli değildir.

ASDK kendi içindedir ve fiziksel konağın dağıtıldığı ağdan yalıtılır. Ağ geçitlerinin bağlı olduğu VIP ağı dış ağ değildir; Ağ Adresi Çevirisi (NAT) gerçekleştiren bir yönlendiricinin arkasına gizlenir.

Yönlendirici, Yönlendirme ve Uzaktan Erişim Hizmetleri (RRAS) rolünü çalıştıran ASDK konağıdır. Siteden siteye VPN bağlantısının her iki uçta da bağlanması için ASDK ana bilgisayarında NAT'yi yapılandırmanız gerekir.

NAT'yi yapılandırma

  1. Yönetici hesabınızla Azure Stack Hub ana bilgisayarında oturum açın.

  2. Betiği yükseltilmiş bir PowerShell ISE'de çalıştırın. Bu betik , Dış BGPNAT adresinizi döndürür.

    Get-NetNatExternalAddress

  3. NAT'yi yapılandırmak için aşağıdaki PowerShell betiğini kopyalayın ve düzenleyin. ve Internal IP address değerini aşağıdaki örnek değerlerle değiştirmek External BGPNAT address için betiği düzenleyin:

    • Dış BGPNAT adresi için 10.10.0.62 kullanın
    • İç IP adresi için 192.168.102.1 kullanın

    Yükseltilmiş bir PowerShell ISE'den aşağıdaki betiği çalıştırın:

    $ExtBgpNat = 'External BGPNAT address'
$IntBgpNat = 'Internal IP address'

# Designate the external NAT address for the ports that use the IKE authentication.
Add-NetNatExternalAddress `
   -NatName BGPNAT `
   -IPAddress $Using:ExtBgpNat `
   -PortStart 499 `
   -PortEnd 501
Add-NetNatExternalAddress `
   -NatName BGPNAT `
   -IPAddress $Using:ExtBgpNat `
   -PortStart 4499 `
   -PortEnd 4501
# Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
Add-NetNatStaticMapping `
   -NatName BGPNAT `
   -Protocol UDP `
   -ExternalIPAddress $Using:ExtBgpNat `
   -InternalIPAddress $Using:IntBgpNat `
   -ExternalPort 500 `
   -InternalPort 500
# Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
Add-NetNatStaticMapping `
   -NatName BGPNAT `
   -Protocol UDP `
   -ExternalIPAddress $Using:ExtBgpNat `
   -InternalIPAddress $Using:IntBgpNat `
   -ExternalPort 4500 `
   -InternalPort 4500

Azure'ı yapılandırma

Azure Stack Hub'ı yapılandırmayı tamamladıktan sonra Azure kaynaklarını dağıtabilirsiniz. Aşağıdaki şekilde Azure'da bir kiracı sanal ağı örneği gösterilmektedir. Azure'da sanal ağınız için herhangi bir ad ve adresleme düzeni kullanabilirsiniz. Ancak Azure ve Azure Stack Hub'daki sanal ağların adres aralığı benzersiz olmalı ve çakışmamalıdır:

Azure VNet'leri

Azure'da dağıtılan kaynaklar, Azure Stack Hub'da dağıttığınız kaynaklara benzer. Aşağıdaki bileşenleri dağıtırsınız:

  • Sanal ağlar ve alt ağlar
  • Ağ geçidi alt ağı
  • Sanal ağ geçidi
  • Bağlantı
  • ExpressRoute bağlantı hattı

Örnek Azure ağ altyapısı aşağıdaki gibi yapılandırılır:

  • Standart merkez (192.168.2.0/24) ve uç (10.100.0.0./16) sanal ağ modeli. Merkez-uç ağ topolojisi hakkında daha fazla bilgi için bkz. Azure'da merkez-uç ağ topolojisi uygulama.
  • İş yükleri uç sanal aya dağıtılır ve ExpressRoute bağlantı hattı hub sanal asına bağlanır.
  • İki sanal ağ, sanal ağ eşlemesi kullanılarak bağlanır.

Azure sanal ağlarını yapılandırma

  1. Azure kimlik bilgilerinizle Azure portal oturum açın.
  2. 192.168.2.0/24 adres aralığını kullanarak merkez sanal ağı oluşturun.
  3. 192.168.2.0/25 adres aralığını kullanarak bir alt ağ oluşturun ve 192.168.2.128/27 adres aralığını kullanarak bir ağ geçidi alt ağı ekleyin.
  4. 10.100.0.0/16 adres aralığını kullanarak uç sanal ağı ve alt ağı oluşturun.

Azure'da sanal ağ oluşturma hakkında daha fazla bilgi için bkz. Sanal ağ oluşturma.

ExpressRoute bağlantı hattı yapılandırma

  1. ExpressRoute önkoşulları & denetim listesindeki ExpressRoute önkoşullarını gözden geçirin.

  2. Azure aboneliğinizi kullanarak ExpressRoute bağlantı hattı oluşturmak için ExpressRoute bağlantı hattı oluşturma ve değiştirme bölümündeki adımları izleyin.

    Not

    ExpressRoute bağlantı hattınızı kendi uçlarında ayarlayabilmeleri için bağlantı hattınızın hizmet anahtarını hizmetinize verin.

  3. ExpressRoute bağlantı hattında özel eşlemeyi yapılandırmak için ExpressRoute bağlantı hattı için eşleme oluşturma ve değiştirme bölümündeki adımları izleyin.

Sanal ağ geçidini oluşturma

Merkez sanal ağında ExpressRoute için sanal ağ geçidi oluşturmak üzere PowerShell kullanarak ExpressRoute için sanal ağ geçidi yapılandırma bölümündeki adımları izleyin.

Bağlantı oluşturma

ExpressRoute bağlantı hattını merkez sanal ağına bağlamak için Sanal ağı ExpressRoute bağlantı hattına bağlama başlığındaki adımları izleyin.

Sanal ağları eşleme

Azure portal kullanarak sanal ağ eşlemesi oluşturma bölümündeki adımları kullanarak merkez ve uç sanal ağlarını eşleyin. Sanal ağ eşlemesini yapılandırırken aşağıdaki seçenekleri kullandığınızdan emin olun:

  • Merkezden uça ağ geçidi aktarımına izin ver.
  • Uçtan merkeze uzak ağ geçidini kullanın.

Sanal makine oluşturma

İş yükü VM'lerinizi uç sanal aya dağıtın.

Azure'da ilgili ExpressRoute bağlantı hatları aracılığıyla bağlanmak istediğiniz ek kiracı sanal ağları için bu adımları yineleyin.

Yönlendiriciyi yapılandırma

ExpressRoute Yönlendiricinizi yapılandırma kılavuzu olarak aşağıdaki ExpressRoute yönlendirici yapılandırma diyagramını kullanabilirsiniz. Bu şekilde, ilgili ExpressRoute bağlantı hatlarına sahip iki kiracı (Kiracı 1 ve Kiracı 2) gösterilmektedir. Her kiracı, ExpressRoute yönlendiricisinin LAN ve WAN tarafındaki kendi VRF'sine (Sanal Yönlendirme ve İletme) bağlanır. Bu yapılandırma, iki kiracı arasında uçtan uca yalıtım sağlar. Yapılandırma örneğini izlerken yönlendirici arabirimlerinde kullanılan IP adreslerini not alın.

ExpressRoute yönlendirici yapılandırması

Azure Stack Hub'dan siteden siteye VPN bağlantısını sonlandırmak için IKEv2 VPN ve BGP'yi destekleyen herhangi bir yönlendiriciyi kullanabilirsiniz. ExpressRoute bağlantı hattı kullanarak Azure'a bağlanmak için aynı yönlendirici kullanılır.

Aşağıdaki Cisco ASR 1000 Serisi Toplama Hizmetleri Yönlendirici yapılandırma örneği , ExpressRoute yönlendirici yapılandırma diyagramında gösterilen ağ altyapısını destekler.

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

Bağlantıyı test etme

Siteden siteye bağlantıyı ve ExpressRoute bağlantı hattını kurduktan sonra bağlantınızı test edin.

Aşağıdaki ping testlerini gerçekleştirin:

  • Azure sanal ağınızdaki VM'lerden birinde oturum açın ve Azure Stack Hub'da oluşturduğunuz VM'ye ping gönderin.
  • Azure Stack Hub'da oluşturduğunuz VM'lerden birinde oturum açın ve Azure VNet'te oluşturduğunuz VM'ye ping gönderin.

Not

Siteden siteye ve ExpressRoute bağlantıları üzerinden trafik gönderdiğinizden emin olmak için, VM'nin VIP adresine değil her iki ucundaki ayrılmış IP (DIP) adresine ping göndermeniz gerekir.

Güvenlik duvarı üzerinden ICMP'ye izin ver

Varsayılan olarak, Windows Server 2016 güvenlik duvarı üzerinden gelen ICMP paketlerine izin vermez. Ping testleri için kullandığınız her VM için gelen ICMP paketlerine izin vermelisiniz. ICMP için güvenlik duvarı kuralı oluşturmak için yükseltilmiş bir PowerShell penceresinde aşağıdaki cmdlet'i çalıştırın:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Azure Stack Hub VM'sine ping gönderin

  1. Azure Stack Hub kullanıcı portalında oturum açın.

  2. Oluşturduğunuz VM'yi bulun ve seçin.

  3. Bağlan’ı seçin.

  4. Yükseltilmiş bir Windows veya PowerShell komut isteminden ipconfig /all yazın. Çıktıda döndürülen IPv4 adresini not edin.

  5. Azure VNet'teki VM'den IPv4 adresine ping yapın.

    Örnek ortamda, IPv4 adresi 10.1.1.x/24 alt ağındandır. Ortamınızda adres farklı olabilir, ancak kiracı sanal ağı alt ağı için oluşturduğunuz alt ağda olmalıdır.

Veri aktarımı istatistiklerini görüntüleme

Bağlantınızdan ne kadar trafik geçtiğini öğrenmek istiyorsanız bu bilgileri Azure Stack Hub kullanıcı portalında bulabilirsiniz. Veri aktarımı istatistiklerini görüntülemek, ping testi verilerinizin VPN ve ExpressRoute bağlantılarından geçip geçmediğini öğrenmenin de iyi bir yoludur:

  1. Azure Stack Hub kullanıcı portalında oturum açın ve Tüm kaynaklar'ı seçin.
  2. VPN Gateway kaynak grubuna gidin ve Bağlantı nesne türünü seçin.
  3. Listeden ConnectToAzure bağlantısını seçin.
  4. Bağlantılara>Genel Bakış'ınaltında, veri ve veriçıkışı istatistiklerini görebilirsiniz. Sıfır olmayan bazı değerler görmeniz gerekir.

Sonraki adımlar

Uygulamaları Azure ve Azure Stack Hub'a dağıtma