Azure ExpressRoute kullanarak Azure Stack Hub ile Azure arasında bağlantı kurun
Bu makalede, Bir Azure Stack Hub sanal ağını Microsoft Azure ExpressRoute doğrudan bağlantısı kullanarak bir Azure sanal ağına nasıl bağlayacağınız açıklanmaktadır.
Bu makaleyi öğretici olarak kullanabilir ve örnekleri kullanarak aynı test ortamını ayarlayabilirsiniz. İsterseniz, kendi ExpressRoute ortamınızı ayarlamada size yol gösteren bir kılavuz olarak makaleyi okuyabilirsiniz.
Genel bakış, varsayımlar ve önkoşullar
Azure ExpressRoute, bir bağlantı sağlayıcısı tarafından sağlanan özel bağlantı üzerinden şirket içi ağlarınızı Microsoft bulutuna genişletmenize olanak tanır. ExpressRoute, genel İnternet üzerinden yapılan bir VPN bağlantısı değildir.
Azure ExpressRoute hakkında daha fazla bilgi için bkz. ExpressRoute'a genel bakış.
Varsayımlar
Bu makalede şunlar varsayılır:
- Azure hakkında çalışan bir bilgiye sahipsiniz.
- Azure Stack Hub hakkında temel bilgilere sahipsiniz.
- Ağ hakkında temel bilgilere sahipsiniz.
Önkoşullar
ExpressRoute kullanarak Azure Stack Hub ve Azure'a bağlanmak için aşağıdaki gereksinimleri karşılamanız gerekir:
- Bağlantı sağlayıcısı aracılığıyla sağlanan bir ExpressRoute bağlantı hattı.
- Azure'da ExpressRoute bağlantı hattı ve sanal ağlar oluşturmak için bir Azure aboneliği.
- Şu şekilde olması gereken bir yönlendirici:
- LAN arabirimi ile Azure Stack Hub çok kiracılı ağ geçidi arasında siteden siteye VPN bağlantılarını destekleyin.
- Azure Stack Hub dağıtımınızda birden fazla kiracı varsa birden çok VRF (Sanal Yönlendirme ve İletme) oluşturma desteği.
- Şu donanıma sahip bir yönlendirici:
- ExpressRoute bağlantı hattına bağlı bir WAN bağlantı noktası.
- Azure Stack Hub çok kiracılı ağ geçidine bağlı bir LAN bağlantı noktası.
ExpressRoute ağ mimarisi
Aşağıdaki şekilde, bu makaledeki örnekleri kullanarak ExpressRoute kurulumunu tamamladıktan sonra Azure Stack Hub ve Azure ortamları gösterilmektedir:
Aşağıdaki şekilde birden çok kiracının ExpressRoute yönlendiricisi aracılığıyla Azure Stack Hub altyapısından Azure'a nasıl bağlanacakları gösterilmektedir:
Bu makaledeki örnek, ExpressRoute özel eşlemesini kullanarak Azure Stack Hub'ı Azure'a bağlamak için bu diyagramda gösterilen aynı çok kiracılı mimariyi kullanır. Bağlantı, Azure Stack Hub'daki sanal ağ geçidinden ExpressRoute yönlendiricisine siteden siteye VPN bağlantısı kullanılarak yapılır.
Bu makaledeki adımlarda, Azure Stack Hub'daki iki farklı kiracıdan Azure'daki ilgili sanal ağlara iki sanal ağ arasında uçtan uca bağlantı oluşturma adımları gösterilmektedir. İki kiracı ayarlamak isteğe bağlıdır; Bu adımları tek bir kiracı için de kullanabilirsiniz.
Azure Stack Hub'ı yapılandırma
İlk kiracı için Azure Stack Hub ortamını ayarlamak için kılavuz olarak aşağıdaki adımları kullanın. Birden fazla kiracı ayarlanıyorsa şu adımları yineleyin:
Not
Bu adımlar, Azure Stack Hub portalını kullanarak kaynak oluşturmayı gösterir, ancak PowerShell'i de kullanabilirsiniz.
Başlamadan önce
Azure Stack Hub'ı yapılandırmaya başlamadan önce şunları yapmanız gerekir:
- Azure Stack Hub dağıtımı.
- Azure Stack Hub'da kullanıcılarınızın abone olabileceği bir teklif. Daha fazla bilgi için bkz . Hizmete, plana, teklife, aboneliğe genel bakış.
Azure Stack Hub'da ağ kaynakları oluşturma
Bir kiracı için Azure Stack Hub'da gerekli ağ kaynaklarını oluşturmak için aşağıdaki yordamları kullanın.
Sanal ağ ve VM alt ağı oluşturma
Azure Stack Hub kullanıcı portalında oturum açın.
Portalda + Kaynak oluştur'u seçin.
Azure Market altında Ağ'ı seçin.
Öne Çıkanlar'ın altında Sanal ağ'ı seçin.
Sanal ağ oluştur'un altında, aşağıdaki tabloda gösterilen değerleri uygun alanlara girin:
Alan Değer Ad Kiracı1VNet1 Adres alanı 10.1.0.0/16 Alt ağ adı Tenant1-Sub1 Alt ağ adres aralığı 10.1.1.0/24 Daha önce oluşturduğunuz aboneliğin Abonelik alanında doldurulduğunu görmeniz gerekir. Kalan alanlar için:
- Kaynak grubu'nun altında Yeni oluştur'u seçerek yeni bir kaynak grubu oluşturun veya zaten bir kaynak grubunuz varsa Var olanı kullan'ı seçin.
- Varsayılan Konumu doğrulayın.
- Oluştur’a tıklayın.
- (İsteğe bağlı) Panoya sabitle'ye tıklayın.
Ağ geçidi alt ağını oluşturma
- Sanal ağ'ın altında Kiracı1VNet1'i seçin.
- AYARLAR'ın altında Alt ağlar'ı seçin.
- Sanal ağa bir ağ geçidi alt ağı eklemek için + Ağ geçidi alt ağı'nı seçin.
- Alt ağın adı varsayılan olarak GatewaySubnet şeklinde ayarlanır. Ağ geçidi alt ağları özel bir durum olup düzgün çalışması için bu adı kullanmalıdır.
- Adres aralığının10.1.0.0/24 olduğunu doğrulayın.
- Ağ geçidi alt akını oluşturmak için Tamam'a tıklayın.
Sanal ağ geçidini oluşturma
- Azure Stack Hub kullanıcı portalında + Kaynak oluştur'a tıklayın.
- Azure Market altında Ağ'ı seçin.
- Ağ kaynakları listesinden Sanal ağ geçidi’ni seçin.
- Ad alanına GW1 girin.
- Sanal ağ'ı seçin.
- Açılan listeden Tenant1VNet1'i seçin.
- Genel IP adresi'ni, ardından Genel IP adresi seç'i seçin ve ardından Yeni oluştur'a tıklayın.
- Ad alanına GW1-PiP yazın ve Tamam'a tıklayın.
- VPN türü için varsayılan olarak yol tabanlı seçili olmalıdır. Bu ayarı tutun.
- Abonelik ve Konum seçeneklerinin doğruluğunu onaylayın. Oluştur’a tıklayın.
Yerel ağ geçidini oluşturma
Yerel ağ geçidi kaynağı, VPN bağlantısının diğer ucundaki uzak ağ geçidini tanımlar. Bu örnekte, bağlantının uzak ucu ExpressRoute yönlendiricisinin LAN alt arabirimidir. Önceki diyagramda yer alan Kiracı 1 için uzak adres 10.60.3.255'tir.
Azure Stack Hub kullanıcı portalında oturum açın ve + Kaynak oluştur'u seçin.
Azure Market altında Ağ'ı seçin.
Kaynak listesinden yerel ağ geçidi’ni seçin.
Ad alanına ER-Router-GW yazın.
IP adresi alanı için önceki şekildekine bakın. Kiracı 1 için ExpressRoute yönlendirici LAN alt arabiriminin IP adresi 10.60.3.255'tir. Kendi ortamınız için yönlendiricinizin ilgili arabiriminin IP adresini girin.
Adres Alanı alanına, Azure'da bağlanmak istediğiniz sanal ağların adres alanını girin. Kiracı 1 için alt ağlar aşağıdaki gibidir:
- 192.168.2.0/24, Azure'daki merkez sanal ağıdır.
- 10.100.0.0/16, Azure'daki uç sanal ağıdır.
Önemli
Bu örnekte, Azure Stack Hub ağ geçidi ile ExpressRoute yönlendiricisi arasındaki siteden siteye VPN bağlantısı için statik yollar kullandığınız varsayılır.
Aboneliğinizin, Kaynak Grubunuzun ve Konumunuzun doğru olduğunu doğrulayın. Ardından Oluştur’u seçin.
Bağlantı oluşturma
- Azure Stack Hub kullanıcı portalında + Kaynak oluştur'u seçin.
- Azure Market altında Ağ'ı seçin.
- Kaynak listesinden Bağlantı’yı seçin.
- Temel Bilgiler'in altında Bağlantı türü olarak Siteden siteye (IPSec) öğesini seçin.
- Abonelik, Kaynak grubu ve Konum'u seçin. Tamam'a tıklayın.
- Ayarlar'ın altında Sanal ağ geçidi'ni ve ardından GW1'i seçin.
- Yerel ağ geçidi'ni ve ardından ER Router GW'yi seçin.
- Bağlantı adı alanına ConnectToAzure yazın.
- Paylaşılan anahtar (PSK) alanına abc123 girin ve Tamam'ı seçin.
- Özet'in altında Tamam'ı seçin.
Sanal ağ geçidi genel IP adresini alma
Sanal ağ geçidini oluşturduktan sonra ağ geçidinin genel IP adresini alabilirsiniz. Dağıtımınız için daha sonra ihtiyacınız olması durumunda bu adresi not alın. Dağıtımınıza bağlı olarak, bu adres İç IP adresi olarak kullanılır.
- Azure Stack Hub kullanıcı portalında Tüm kaynaklar'ı seçin.
- Tüm kaynaklar'ın altında, örnekteki GW1 olan sanal ağ geçidini seçin.
- Sanal ağ geçidi altında, kaynak listesinden Genel Bakış'ı seçin. Alternatif olarak Özellikler'i de seçebilirsiniz.
- Not almak istediğiniz IP adresi Genel IP adresi altında listelenir. Örnek yapılandırma için bu adres 192.68.102.1'dir.
Sanal makine (VM) oluşturma
VPN bağlantısı üzerinden veri trafiğini test etmek için VM'lerin Azure Stack Hub VNet'inde veri gönderip alması gerekir. Bir VM oluşturun ve sanal ağınız için VM alt ağına dağıtın.
Azure Stack Hub kullanıcı portalında + Kaynak oluştur'u seçin.
Azure Market altında İşlem'i seçin.
VM görüntüleri listesinde Datacenter Eval görüntüsünü Windows Server 2016 seçin.
Not
Bu makale için kullanılan görüntü kullanılamıyorsa Azure Stack Hub operatörünüzden farklı bir Windows Server görüntüsü sağlamasını isteyin.
Sanal makine oluştur bölümünde Temel Bilgiler'i seçin, ardından Ad olarak VM01 yazın.
Geçerli bir kullanıcı adı ve parola girin. Oluşturulduktan sonra VM'de oturum açmak için bu hesabı kullanacaksınız.
Abonelik, Kaynak grubu ve Konum belirtin. Tamam’ı seçin.
Boyut seçin'in altında bu örnek için bir VM boyutu seçin ve ardından Seç'i seçin.
Ayarlar'ın altında şunları onaylayın:
- Sanal ağ Tenant1VNet1'dir.
- Alt ağ 10.1.1.0/24 olarak ayarlanır.
Varsayılan ayarları kullanın ve Tamam seçeneğine tıklayın.
Özet'in altında VM yapılandırmasını gözden geçirin ve Tamam'a tıklayın.
Daha fazla kiracı eklemek için aşağıdaki bölümlerde izlediğiniz adımları yineleyin:
- Sanal ağ ve VM alt ağı oluşturma
- Ağ geçidi alt ağı oluşturma
- Sanal ağ geçidini oluşturma
- Yerel ağ geçidini oluşturma
- Bağlantıyı oluşturma
- Sanal makine oluşturma
Örnek olarak Kiracı 2'yi kullanıyorsanız, çakışmaları önlemek için IP adreslerini değiştirmeyi unutmayın.
Ağ geçidi geçişi için NAT VM'yi yapılandırma
Önemli
Bu bölüm yalnızca ASDK dağıtımlarına yöneliktir. Nat, çok düğümlü dağıtımlar için gerekli değildir.
ASDK kendi içindedir ve fiziksel konağın dağıtıldığı ağdan yalıtılır. Ağ geçitlerinin bağlı olduğu VIP ağı dış ağ değildir; Ağ Adresi Çevirisi (NAT) gerçekleştiren bir yönlendiricinin arkasına gizlenir.
Yönlendirici, Yönlendirme ve Uzaktan Erişim Hizmetleri (RRAS) rolünü çalıştıran ASDK konağıdır. Siteden siteye VPN bağlantısının her iki uçta da bağlanması için ASDK ana bilgisayarında NAT'yi yapılandırmanız gerekir.
NAT'yi yapılandırma
Yönetici hesabınızla Azure Stack Hub ana bilgisayarında oturum açın.
Betiği yükseltilmiş bir PowerShell ISE'de çalıştırın. Bu betik , Dış BGPNAT adresinizi döndürür.
Get-NetNatExternalAddress
NAT'yi yapılandırmak için aşağıdaki PowerShell betiğini kopyalayın ve düzenleyin. ve
Internal IP address
değerini aşağıdaki örnek değerlerle değiştirmekExternal BGPNAT address
için betiği düzenleyin:- Dış BGPNAT adresi için 10.10.0.62 kullanın
- İç IP adresi için 192.168.102.1 kullanın
Yükseltilmiş bir PowerShell ISE'den aşağıdaki betiği çalıştırın:
$ExtBgpNat = 'External BGPNAT address' $IntBgpNat = 'Internal IP address' # Designate the external NAT address for the ports that use the IKE authentication. Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 499 ` -PortEnd 501 Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 4499 ` -PortEnd 4501 # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 500 ` -InternalPort 500 # Configure NAT traversal which uses port 4500 to establish the complete IPSEC tunnel over NAT devices. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 4500 ` -InternalPort 4500
Azure'ı yapılandırma
Azure Stack Hub'ı yapılandırmayı tamamladıktan sonra Azure kaynaklarını dağıtabilirsiniz. Aşağıdaki şekilde Azure'da bir kiracı sanal ağı örneği gösterilmektedir. Azure'da sanal ağınız için herhangi bir ad ve adresleme düzeni kullanabilirsiniz. Ancak Azure ve Azure Stack Hub'daki sanal ağların adres aralığı benzersiz olmalı ve çakışmamalıdır:
Azure'da dağıtılan kaynaklar, Azure Stack Hub'da dağıttığınız kaynaklara benzer. Aşağıdaki bileşenleri dağıtırsınız:
- Sanal ağlar ve alt ağlar
- Ağ geçidi alt ağı
- Sanal ağ geçidi
- Bağlantı
- ExpressRoute bağlantı hattı
Örnek Azure ağ altyapısı aşağıdaki gibi yapılandırılır:
- Standart merkez (192.168.2.0/24) ve uç (10.100.0.0./16) sanal ağ modeli. Merkez-uç ağ topolojisi hakkında daha fazla bilgi için bkz. Azure'da merkez-uç ağ topolojisi uygulama.
- İş yükleri uç sanal aya dağıtılır ve ExpressRoute bağlantı hattı hub sanal asına bağlanır.
- İki sanal ağ, sanal ağ eşlemesi kullanılarak bağlanır.
Azure sanal ağlarını yapılandırma
- Azure kimlik bilgilerinizle Azure portal oturum açın.
- 192.168.2.0/24 adres aralığını kullanarak merkez sanal ağı oluşturun.
- 192.168.2.0/25 adres aralığını kullanarak bir alt ağ oluşturun ve 192.168.2.128/27 adres aralığını kullanarak bir ağ geçidi alt ağı ekleyin.
- 10.100.0.0/16 adres aralığını kullanarak uç sanal ağı ve alt ağı oluşturun.
Azure'da sanal ağ oluşturma hakkında daha fazla bilgi için bkz. Sanal ağ oluşturma.
ExpressRoute bağlantı hattı yapılandırma
ExpressRoute önkoşulları & denetim listesindeki ExpressRoute önkoşullarını gözden geçirin.
Azure aboneliğinizi kullanarak ExpressRoute bağlantı hattı oluşturmak için ExpressRoute bağlantı hattı oluşturma ve değiştirme bölümündeki adımları izleyin.
Not
ExpressRoute bağlantı hattınızı kendi uçlarında ayarlayabilmeleri için bağlantı hattınızın hizmet anahtarını hizmetinize verin.
ExpressRoute bağlantı hattında özel eşlemeyi yapılandırmak için ExpressRoute bağlantı hattı için eşleme oluşturma ve değiştirme bölümündeki adımları izleyin.
Sanal ağ geçidini oluşturma
Merkez sanal ağında ExpressRoute için sanal ağ geçidi oluşturmak üzere PowerShell kullanarak ExpressRoute için sanal ağ geçidi yapılandırma bölümündeki adımları izleyin.
Bağlantı oluşturma
ExpressRoute bağlantı hattını merkez sanal ağına bağlamak için Sanal ağı ExpressRoute bağlantı hattına bağlama başlığındaki adımları izleyin.
Sanal ağları eşleme
Azure portal kullanarak sanal ağ eşlemesi oluşturma bölümündeki adımları kullanarak merkez ve uç sanal ağlarını eşleyin. Sanal ağ eşlemesini yapılandırırken aşağıdaki seçenekleri kullandığınızdan emin olun:
- Merkezden uça ağ geçidi aktarımına izin ver.
- Uçtan merkeze uzak ağ geçidini kullanın.
Sanal makine oluşturma
İş yükü VM'lerinizi uç sanal aya dağıtın.
Azure'da ilgili ExpressRoute bağlantı hatları aracılığıyla bağlanmak istediğiniz ek kiracı sanal ağları için bu adımları yineleyin.
Yönlendiriciyi yapılandırma
ExpressRoute Yönlendiricinizi yapılandırma kılavuzu olarak aşağıdaki ExpressRoute yönlendirici yapılandırma diyagramını kullanabilirsiniz. Bu şekilde, ilgili ExpressRoute bağlantı hatlarına sahip iki kiracı (Kiracı 1 ve Kiracı 2) gösterilmektedir. Her kiracı, ExpressRoute yönlendiricisinin LAN ve WAN tarafındaki kendi VRF'sine (Sanal Yönlendirme ve İletme) bağlanır. Bu yapılandırma, iki kiracı arasında uçtan uca yalıtım sağlar. Yapılandırma örneğini izlerken yönlendirici arabirimlerinde kullanılan IP adreslerini not alın.
Azure Stack Hub'dan siteden siteye VPN bağlantısını sonlandırmak için IKEv2 VPN ve BGP'yi destekleyen herhangi bir yönlendiriciyi kullanabilirsiniz. ExpressRoute bağlantı hattı kullanarak Azure'a bağlanmak için aynı yönlendirici kullanılır.
Aşağıdaki Cisco ASR 1000 Serisi Toplama Hizmetleri Yönlendirici yapılandırma örneği , ExpressRoute yönlendirici yapılandırma diyagramında gösterilen ağ altyapısını destekler.
ip vrf Tenant 1
description Routing Domain for PRIVATE peering to Azure for Tenant 1
rd 1:1
!
ip vrf Tenant 2
description Routing Domain for PRIVATE peering to Azure for Tenant 2
rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
integrity sha256
group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
match fvrf Tenant 2
match address local 10.60.3.251
proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
match fvrf Tenant 2
match address local 10.60.3.251
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
mode tunnel
!
crypto ipsec profile V2-PROFILE
set transform-set V2-TRANSFORM2
set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
set transform-set V4-TRANSFORM2
set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
ip vrf forwarding Tenant 1
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.211
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf Tenant 1
tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
ip vrf forwarding Tenant 2
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.213
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf VNET3
tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
description PRIMARY ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
description PRIMARY ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
description PRIMARY ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
description BACKUP ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
description BACKUP ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
description Downlink to ---Port 1/47
no ip address
!
interface TenGigabitEthernet0/1/0.211
description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
encapsulation dot1Q 211
ip vrf forwarding Tenant 1
ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
description Downlink to --- Port 1/47.213
encapsulation dot1Q 213
ip vrf forwarding Tenant 2
ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
bgp router-id <removed>
bgp log-neighbor-changes
description BGP neighbor config and route advertisement for Tenant 1 VRF
address-family ipv4 vrf Tenant 1
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.254 mask 255.255.255.254
network 192.168.1.0 mask 255.255.255.252
network 192.168.1.4 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65100
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.254 remote-as 4232570301
neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.254 activate
neighbor 10.60.3.254 route-map BLOCK-ALL out
neighbor 192.168.1.2 remote-as 12076
neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
neighbor 192.168.1.2 ebgp-multihop 5
neighbor 192.168.1.2 activate
neighbor 192.168.1.2 soft-reconfiguration inbound
neighbor 192.168.1.2 route-map Tenant 1-ONLY out
neighbor 192.168.1.6 remote-as 12076
neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
neighbor 192.168.1.6 ebgp-multihop 5
neighbor 192.168.1.6 activate
neighbor 192.168.1.6 soft-reconfiguration inbound
neighbor 192.168.1.6 route-map Tenant 1-ONLY out
maximum-paths 8
exit-address-family
!
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.250 mask 255.255.255.254
network 192.168.1.16 mask 255.255.255.252
network 192.168.1.20 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65300
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.250 remote-as 4232570301
neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.250 activate
neighbor 10.60.3.250 route-map BLOCK-ALL out
neighbor 192.168.1.18 remote-as 12076
neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
neighbor 192.168.1.18 ebgp-multihop 5
neighbor 192.168.1.18 activate
neighbor 192.168.1.18 soft-reconfiguration inbound
neighbor 192.168.1.18 route-map VNET-ONLY out
neighbor 192.168.1.22 remote-as 12076
neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
neighbor 192.168.1.22 ebgp-multihop 5
neighbor 192.168.1.22 activate
neighbor 192.168.1.22 soft-reconfiguration inbound
neighbor 192.168.1.22 route-map VNET-ONLY out
maximum-paths 8
exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
match as-path 1
!
Bağlantıyı test etme
Siteden siteye bağlantıyı ve ExpressRoute bağlantı hattını kurduktan sonra bağlantınızı test edin.
Aşağıdaki ping testlerini gerçekleştirin:
- Azure sanal ağınızdaki VM'lerden birinde oturum açın ve Azure Stack Hub'da oluşturduğunuz VM'ye ping gönderin.
- Azure Stack Hub'da oluşturduğunuz VM'lerden birinde oturum açın ve Azure VNet'te oluşturduğunuz VM'ye ping gönderin.
Not
Siteden siteye ve ExpressRoute bağlantıları üzerinden trafik gönderdiğinizden emin olmak için, VM'nin VIP adresine değil her iki ucundaki ayrılmış IP (DIP) adresine ping göndermeniz gerekir.
Güvenlik duvarı üzerinden ICMP'ye izin ver
Varsayılan olarak, Windows Server 2016 güvenlik duvarı üzerinden gelen ICMP paketlerine izin vermez. Ping testleri için kullandığınız her VM için gelen ICMP paketlerine izin vermelisiniz. ICMP için güvenlik duvarı kuralı oluşturmak için yükseltilmiş bir PowerShell penceresinde aşağıdaki cmdlet'i çalıştırın:
# Create ICMP firewall rule.
New-NetFirewallRule `
-DisplayName "Allow ICMPv4-In" `
-Protocol ICMPv4
Azure Stack Hub VM'sine ping gönderin
Azure Stack Hub kullanıcı portalında oturum açın.
Oluşturduğunuz VM'yi bulun ve seçin.
Bağlan’ı seçin.
Yükseltilmiş bir Windows veya PowerShell komut isteminden ipconfig /all yazın. Çıktıda döndürülen IPv4 adresini not edin.
Azure VNet'teki VM'den IPv4 adresine ping yapın.
Örnek ortamda, IPv4 adresi 10.1.1.x/24 alt ağındandır. Ortamınızda adres farklı olabilir, ancak kiracı sanal ağı alt ağı için oluşturduğunuz alt ağda olmalıdır.
Veri aktarımı istatistiklerini görüntüleme
Bağlantınızdan ne kadar trafik geçtiğini öğrenmek istiyorsanız bu bilgileri Azure Stack Hub kullanıcı portalında bulabilirsiniz. Veri aktarımı istatistiklerini görüntülemek, ping testi verilerinizin VPN ve ExpressRoute bağlantılarından geçip geçmediğini öğrenmenin de iyi bir yoludur:
- Azure Stack Hub kullanıcı portalında oturum açın ve Tüm kaynaklar'ı seçin.
- VPN Gateway kaynak grubuna gidin ve Bağlantı nesne türünü seçin.
- Listeden ConnectToAzure bağlantısını seçin.
- Bağlantılara>Genel Bakış'ınaltında, veri ve veriçıkışı istatistiklerini görebilirsiniz. Sıfır olmayan bazı değerler görmeniz gerekir.