<h2 id="expressroute-%2B-vpn-%E3%81%AE%E6%A7%8B%E6%88%90%E3%82%92%E7%B5%84%E3%81%BF%E6%9B%BF%E3%81%88%E3%81%A6%E3%81%BF%E3%82%8B">
<a class="header-anchor-link" href="#expressroute-%2B-vpn-%E3%81%AE%E6%A7%8B%E6%88%90%E3%82%92%E7%B5%84%E3%81%BF%E6%9B%BF%E3%81%88%E3%81%A6%E3%81%BF%E3%82%8B" aria-hidden="true"></a> ExpressRoute + VPN の構成を組み替えてみる</h2>
<p>ちょっと思うところがあって、ExpressRoute + VPN の構成の変わった形を考えてみます。<br>
参考にしているのは以下の docs です。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--Gu26OfOp--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/71a30e5c169ed8a5f9fbb84e.png%3Fsha%3D8368f2a1fe3f22fcc2979e4933c14a9cc11678f7" alt="routing" loading="lazy" class="md-img"></p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__b3686f0b770fd" src="https://embed.zenn.studio/card#zenn-embedded__b3686f0b770fd" data-content="https%3A%2F%2Flearn.microsoft.com%2Fazure%2Fvpn-gateway%2Fsite-to-site-vpn-private-peering" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://learn.microsoft.com/azure/vpn-gateway/site-to-site-vpn-private-peering" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://learn.microsoft.com/azure/vpn-gateway/site-to-site-vpn-private-peering</a></p>
<p>こちらは ExpressRoute Gateway と VPN Gateway が同じ VNet に配置されています。<br>
大体のケースではこれで問題ないのですが、今回は別の VNet に置いてみようと思います。</p>
<h2 id="%E6%A7%8B%E6%88%90%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8">
<a class="header-anchor-link" href="#%E6%A7%8B%E6%88%90%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8" aria-hidden="true"></a> 構成イメージ</h2>
<p>構成イメージはこちらです。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--JBHfzBeD--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/e568df99204a10a54bbcce07.png%3Fsha%3Da358ac568b7a7c7294fcbb4e04ec2ff6d2d8e941" alt="er-spoke-vpn" loading="lazy" class="md-img"><br>
<em>今回構成したもの構成イメージ</em></p>
<h2 id="%E5%8F%82%E8%80%83%E5%AE%9F%E8%A3%85">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83%E5%AE%9F%E8%A3%85" aria-hidden="true"></a> 参考実装</h2>
<p>参考実装はこちらです。<br>
実装の詳細についてはこちらにも書かれています。<br>
Bicep ファイルもあるのである程度再現環境も作れるはずです。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__2fd96aedbc3e2" src="https://embed.zenn.studio/card#zenn-embedded__2fd96aedbc3e2" data-content="https%3A%2F%2Fgithub.com%2Fskmkzyk%2Fbicep-templates%2Ftree%2Fmain%2F20221202_er-spoke-vpn" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/skmkzyk/bicep-templates/tree/main/20221202_er-spoke-vpn" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/skmkzyk/bicep-templates/tree/main/20221202_er-spoke-vpn</a></p>
<h2 id="%E6%A7%8B%E6%88%90%E3%81%AE%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#%E6%A7%8B%E6%88%90%E3%81%AE%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88" aria-hidden="true"></a> 構成のポイント</h2>
<p>とある理由から Spoke 全体をオンプレミスから直接接続できるようにはしたくなかったため、Remote Gateway を使っていません。<br>
そのうえで、Spoke においた VPN Gateway と on-premise 側が通信できるよう、FRRouting + ARS (Azure Route Server) の構成で工夫しています。</p>
<p>ハマりポイントとしては "Download configuration" からダウンロードできる Cisco config の sample が Public IP のままになっていて、ちょっと悩みました。<br>
実際の Azure Portal を見たほうがわかりやすいかと思いますが、それでも VPN の IP address と BGP の IP address が異なることには注意かと思います。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--N8Pe5Vdu--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/6e7f3a5c28604c6741fd9596.jpeg%3Fsha%3D6232b114373a0c6fbf4fa7005d0e0f954c2ddeb0" alt="vpngw-vpn-prigate-ip" loading="lazy" class="md-img"><br>
<em>VPN Gateway の Properties から VPN の Private IP address が見れる</em></p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--Ry5VwfvE--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/bdc3b11080f4d9093ecdb15b.jpeg%3Fsha%3Dff19a38bdbcd60c09778b285c9db293f788b458f" alt="vpngw-bgp-private-ip" loading="lazy" class="md-img"><br>
<em>VPN Gateway の Configuration から BGP の Private IP address が見れる</em></p>
<p>図を入れることでわかりやすくなるかはわかりませんが、ExpressRoute の BGP「だけ」が構成されている状態での通信可能な範囲はこの色のついた部分です。<br>
この状態では、Spoke VNet の GatewaySubnet のみを reachable としています。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--DDlqEOfp--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/bfbbb1927ff850001678e929.png%3Fsha%3Daf9cecb7e8cf0e3e960a6e7d5d597970c40182b7" alt="er-spoke-vpn-er-reachability" loading="lazy" class="md-img"><br>
<em>ExpressRoute のみで reachable な範囲</em></p>
<p>これに加えて、VPN を構成することで Spoke VNet 全体が reachable となります。<br>
今回は同じ Cisco Router で ExpressRoute と VPN の両方を構成していますが、これを分けることで一種の分離が構成できると考えています。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--AzI568fr--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/b706ac0959899fb8821e454e.png%3Fsha%3Dfd77d27c93d569ff7b1d931945752209f6167d52" alt="er-spoke-vpn-vpn-reachability" loading="lazy" class="md-img"><br>
<em>VPN を組み合わせることで reachable な範囲</em></p>
<h2 id="%E7%B5%90%E6%9E%9C">
<a class="header-anchor-link" href="#%E7%B5%90%E6%9E%9C" aria-hidden="true"></a> 結果</h2>
<p>ExpressRoute で直接接続されている peer、172.16.0.2 との経路広報はこんな感じです。<br>
<code>advertised-routes</code> は <code>ip prefix-list ERBGP01</code> によって少し絞ってあります。</p>
<div class="code-block-container"><pre class="language-cisco"><code class="language-cisco">tky01#show ip bgp nei 172.16.0.2 advertised-routes
BGP table version is 29, local router ID is 172.16.0.1
Status codes: s suppressed, d damped, h history, * valid, &gt; best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *&gt;   10.100.10.0/24   0.0.0.0                  0         32768 i
 *&gt;   10.100.20.1/32   0.0.0.0                  0         32768 i

Total number of prefixes 2
</code></pre></div><p><code>received-routes</code> に 10.10.200.0/24 が含まれているのがポイントで、これにより VPN Gateway への reachablity が確保されます。</p>
<div class="code-block-container"><pre class="language-cisco"><code class="language-cisco">tky01#show ip bgp nei 172.16.0.2 received-routes
BGP table version is 29, local router ID is 172.16.0.1
Status codes: s suppressed, d damped, h history, * valid, &gt; best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *&gt;   10.0.0.0/16      172.16.0.2                             0 12076 i
 *&gt;   10.10.200.0/24   172.16.0.2                             0 12076 ?

Total number of prefixes 2
</code></pre></div><p>VPN Gateway との BGP との状況はこんな感じです。<br>
こちらに関しては <code>ip prefix-list VPNBGP01</code> で <code>advertised-routes</code> を絞ってあります。</p>
<div class="code-block-container"><pre class="language-cisco"><code class="language-cisco">tky01#show ip bgp nei 10.10.200.6 advertised-routes
BGP table version is 29, local router ID is 172.16.0.1
Status codes: s suppressed, d damped, h history, * valid, &gt; best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *&gt;   10.100.10.0/24   0.0.0.0                  0         32768 i

Total number of prefixes 1
</code></pre></div><p>こちらの <code>received-routes</code> に 10.10.0.0/16 が含まれているので Spoke 側へアクセスができるということですね。</p>
<div class="code-block-container"><pre class="language-cisco"><code class="language-cisco">tky01#show ip bgp nei 10.10.200.6 received-routes
BGP table version is 29, local router ID is 172.16.0.1
Status codes: s suppressed, d damped, h history, * valid, &gt; best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *&gt;   10.10.0.0/16     10.10.200.6                            0 65155 i

Total number of prefixes 1
</code></pre></div><p>こちらは Azure VM 上の FRRouting での状況です。<br>
10.10.200.0/24 を明示的に経路広報することで Spoke の VPN Gateway のみ (Spoke の GatewaySubnet のみ) が on-premise から直接接続できるようにします。</p>
<div class="code-block-container"><pre class="language-frrouting"><code class="language-frrouting">vm-hub00# show ip bgp nei 10.0.210.4 advertised-routes
BGP table version is 36, local router ID is 10.0.0.4, vrf id 0
Default local pref 100, local AS 65001
Status codes:  s suppressed, d damped, h history, * valid, &gt; best, = multipath,
               i internal, r RIB-failure, S Stale, R Removed
Nexthop codes: @NNN nexthop's vrf id, &lt; announce-nh-self
Origin codes:  i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

   Network          Next Hop            Metric LocPrf Weight Path
*&gt; 10.10.200.0/24   0.0.0.0                  0         32768 ?

Total number of prefixes 1
</code></pre></div><p><code>received-routes</code> についてはあまり気にしていません。</p>
<div class="code-block-container"><pre class="language-frrouting"><code class="language-frrouting">vm-hub00# show ip bgp nei 10.0.210.4 received-routes
BGP table version is 36, local router ID is 10.0.0.4, vrf id 0
Default local pref 100, local AS 65001
Status codes:  s suppressed, d damped, h history, * valid, &gt; best, = multipath,
               i internal, r RIB-failure, S Stale, R Removed
Nexthop codes: @NNN nexthop's vrf id, &lt; announce-nh-self
Origin codes:  i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

   Network          Next Hop            Metric LocPrf Weight Path
*&gt; 10.0.0.0/16      10.0.210.4                             0 65515 i
*&gt; 10.100.10.0/24   10.0.210.4                             0 65515 12076 65150 i
*&gt; 10.100.20.1/32   10.0.210.4                             0 65515 12076 65150 i

Total number of prefixes 3
</code></pre></div><h2 id="%E7%99%BA%E5%B1%95%E4%BE%8B">
<a class="header-anchor-link" href="#%E7%99%BA%E5%B1%95%E4%BE%8B" aria-hidden="true"></a> 発展例</h2>
<p>例えばこういうこともできる、という発展形の一つを示しておきます。<br>
「左上の Client PC と右上の VMs」と「左下の Client PC と右下の VPN VMs」をそれぞれペアと考えてください。<br>
左上の Client PC からは左上の VPN Router、右上の VPN Gateway を経由して、右上の VMs にしか到達できない。<br>
左下の Client PC からは左下の VPN Router、右下の VPN Gateway を経由して、右下の VMs にしか到達できない。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--liJehS7B--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/572778fec35853da912dfa2e.png%3Fsha%3Db2deb418cde48a2b690f4513085944c96b48c7f8" alt="er-spoke-vpn-isolated" loading="lazy" class="md-img"><br>
<em>1 つの ExpressRoute を共用しつつ、VPN を利用したネットワークの分離化</em></p>
<h2 id="%E5%8F%82%E8%80%83">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83" aria-hidden="true"></a> 参考</h2>
<ul>
<li>Azure Route Server と FRRouting の間で BGP ピアを張る</li>
</ul>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__27c69376efb18" src="https://embed.zenn.studio/card#zenn-embedded__27c69376efb18" data-content="https%3A%2F%2Fzenn.dev%2Fskmkzyk%2Farticles%2Fazure-route-server-frrouting" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/skmkzyk/articles/azure-route-server-frrouting" style="display:none" target="_blank">https://zenn.dev/skmkzyk/articles/azure-route-server-frrouting</a></p>
<ul>
<li>A different architecture pattern for ER + VPN</li>
</ul>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__b12b4f726965d" src="https://embed.zenn.studio/card#zenn-embedded__b12b4f726965d" data-content="https%3A%2F%2Fgithub.com%2Fskmkzyk%2Fbicep-templates%2Ftree%2Fmain%2F20221202_er-spoke-vpn" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/skmkzyk/bicep-templates/tree/main/20221202_er-spoke-vpn" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/skmkzyk/bicep-templates/tree/main/20221202_er-spoke-vpn</a></p>
<ul>
<li>Hub-spoke architecture without Remote gateway with VXLAN</li>
</ul>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__181c831de2288" src="https://embed.zenn.studio/card#zenn-embedded__181c831de2288" data-content="https%3A%2F%2Fgithub.com%2Fskmkzyk%2Fbicep-templates%2Ftree%2Fmain%2F20221006_hub-spoke-wo-remote-gw-vxlan" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/skmkzyk/bicep-templates/tree/main/20221006_hub-spoke-wo-remote-gw-vxlan" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/skmkzyk/bicep-templates/tree/main/20221006_hub-spoke-wo-remote-gw-vxlan</a></p>
<hr>
<h2 id="update-log">
<a class="header-anchor-link" href="#update-log" aria-hidden="true"></a> Update log</h2>
<ul>
<li>全体的に <code># (見出し1)</code> から <code>## (見出し2)</code> に変更 - 2024/07/14</li>
<li>画像の内部的なファイル パスを変更 - 2024/07/14</li>
<li>tag の修正 - 2024/07/14</li>
</ul>


Discussion