Šifrování ExpressRoute: Protokol IPsec přes ExpressRoute pro Virtual WAN
V tomto článku se dozvíte, jak pomocí služby Azure Virtual WAN vytvořit připojení VPN IPsec/IKE z vaší místní sítě k Azure přes privátní partnerský vztah okruhu Azure ExpressRoute. Tato technika může poskytovat šifrovaný přenos mezi místními sítěmi a virtuálními sítěmi Azure přes ExpressRoute, aniž byste museli přecházení přes veřejný internet nebo používání veřejných IP adres.
Topologie a směrování
Následující diagram znázorňuje příklad připojení VPN přes privátní partnerský vztah ExpressRoute:
Diagram znázorňuje síť v rámci místní sítě připojené k bráně VPN centra Azure přes privátní partnerský vztah ExpressRoute. Vytvoření připojení je jednoduché:
- Vytvořte připojení ExpressRoute s okruhem ExpressRoute a privátním partnerským vztahem.
- Vytvořte připojení VPN, jak je popsáno v tomto článku.
Důležitým aspektem této konfigurace je směrování mezi místními sítěmi a Azure přes cesty ExpressRoute i VPN.
Provoz z místních sítí do Azure
V případě provozu z místních sítí do Azure se předpony Azure (včetně virtuálního centra a všech paprskových virtuálních sítí připojených k centru) inzerují prostřednictvím protokolu BGP privátního partnerského vztahu ExpressRoute i protokolu BGP sítě VPN. Výsledkem jsou dvě síťové trasy (cesty) směrem k Azure z místních sítí:
- Jedna přes cestu chráněnou protokolem IPsec
- Jeden přímo přes ExpressRoute bez ochrany IPsec
Pokud chcete použít šifrování pro komunikaci, musíte se ujistit, že pro síť připojenou k síti VPN v diagramu se trasy Azure přes místní bránu VPN preferují před přímou cestou ExpressRoute.
Provoz z Azure do místních sítí
Stejný požadavek se vztahuje na provoz z Azure do místních sítí. Abyste měli jistotu, že je cesta IPsec upřednostňovaná před přímou cestou ExpressRoute (bez protokolu IPsec), máte dvě možnosti:
Inzerujte konkrétnější předpony v relaci protokolu BGP sítě VPN pro síť připojenou k síti VPN. Můžete inzerovat větší rozsah, který zahrnuje síť připojenou k síti VPN přes privátní partnerský vztah ExpressRoute, a pak konkrétnější rozsahy v relaci protokolu VPN BGP. Například inzerujte 10.0.0.0/16 přes ExpressRoute a 10.0.1.0/24 přes VPN.
Inzerujte oddělené předpony pro VPN a ExpressRoute. Pokud jsou rozsahy sítí připojených k síti VPN oddělené od jiných připojených sítí ExpressRoute, můžete inzerovat předpony v relacích PROTOKOLU BGP sítě VPN a ExpressRoute. Například inzerujte 10.0.0.0/24 přes ExpressRoute a 10.0.1.0/24 přes VPN.
V obou těchto příkladech Bude Azure posílat provoz do 10.0.1.0/24 přes připojení VPN místo přímo přes ExpressRoute bez ochrany VPN.
Upozorňující
Pokud inzerujete stejné předpony prostřednictvím připojení ExpressRoute i VPN, Azure použije cestu ExpressRoute přímo bez ochrany VPN.
Než začnete
Před zahájením konfigurace ověřte, že splňujete následující kritéria:
- Pokud už máte virtuální síť, ke které se chcete připojit, ověřte, že se s ní nepřekrývají žádné podsítě vaší místní sítě. Vaše virtuální síť nevyžaduje podsíť brány a nemůže mít žádné brány virtuální sítě. Pokud nemáte virtuální síť, můžete ji vytvořit pomocí kroků v tomto článku.
- Zařiďte rozsah IP adres pro oblast vašeho rozbočovače. Centrum je virtuální síť a rozsah adres zadaný pro oblast rozbočovače se nemůže překrývat s existující virtuální sítí, ke které se připojujete. Také se nemůže překrývat s rozsahy adres, které se připojujete k místnímu prostředí. Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, spojte se s někým, kdo vám může tyto podrobnosti poskytnout.
- Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
1. Vytvoření virtuální sítě WAN a centra s bránami
Než budete pokračovat, musí být splněné následující prostředky Azure a odpovídající místní konfigurace:
Postup vytvoření virtuální sítě WAN Azure a centra s přidružením ExpressRoute najdete v tématu Vytvoření přidružení ExpressRoute pomocí služby Azure Virtual WAN. Postup vytvoření brány VPN ve virtuální síti WAN najdete v tématu Vytvoření připojení typu site-to-site pomocí služby Azure Virtual WAN.
2. Vytvoření lokality pro místní síť
Prostředek lokality je stejný jako lokality VPN jiné než ExpressRoute pro virtuální síť WAN. IP adresa místního zařízení VPN teď může být privátní IP adresa nebo veřejná IP adresa v místní síti dostupná prostřednictvím privátního partnerského vztahu ExpressRoute vytvořeného v kroku 1.
Poznámka:
IP adresa místního zařízení VPN musí být součástí předpon adres inzerovaných do centra virtual WAN prostřednictvím privátního partnerského vztahu Azure ExpressRoute.
Přejděte do lokalit VPN VirtualTualWAN > a vytvořte lokalitu pro vaši místní síť. Základní kroky najdete v tématu Vytvoření webu. Mějte na paměti následující hodnoty nastavení:
- Border Gateway Protocol: Pokud vaše místní síť používá protokol BGP, vyberte Povolit.
- Privátní adresní prostor: Zadejte adresní prostor IP adres, který se nachází v místní lokalitě. Provoz určený pro tento adresní prostor se směruje do místní sítě přes bránu VPN.
Vyberte Odkazy a přidejte informace o fyzických propojeních. Mějte na paměti následující informace o nastavení:
Název zprostředkovatele: Název poskytovatele internetových služeb pro tento web. V případě místní sítě ExpressRoute se jedná o název poskytovatele služeb ExpressRoute.
Rychlost: Rychlost připojení internetové služby nebo okruhu ExpressRoute.
IP adresa: Veřejná IP adresa zařízení VPN, které se nachází ve vaší místní lokalitě. Nebo pro místní ExpressRoute se jedná o privátní IP adresu zařízení VPN prostřednictvím ExpressRoute.
Pokud je povolený protokol BGP, platí pro všechna připojení vytvořená pro tento web v Azure. Konfigurace protokolu BGP ve virtuální síti WAN je ekvivalentní konfiguraci protokolu BGP v bráně Azure VPN Gateway.
Vaše místní adresa partnerského vztahu protokolu BGP nesmí být stejná jako IP adresa vaší sítě VPN pro zařízení nebo adresní prostor virtuální sítě lokality VPN. Jako místní adresu partnera BGP v zařízení VPN použijte jinou IP adresu. Může se jednat o adresu přiřazenou rozhraní zpětné smyčky v zařízení. Nemůže to ale být rozhraní APIPA (169.254.x.x) adresa. Zadejte tuto adresu v odpovídající lokalitě VPN, která představuje umístění. Požadavky protokolu BGP najdete v tématu O protokolu BGP se službou Azure VPN Gateway.
Vyberte Další: Zkontrolujte a vytvořte > hodnoty nastavení a vytvořte lokalitu VPN a pak vytvořte lokalitu.
Dále připojte lokalitu k centru pomocí těchto základních kroků jako vodítka. Aktualizace brány může trvat až 30 minut.
3. Aktualizujte nastavení připojení VPN tak, aby používalo ExpressRoute.
Po vytvoření lokality VPN a připojení k centru pomocí následujícího postupu nakonfigurujte připojení tak, aby používalo privátní partnerský vztah ExpressRoute:
Přejděte do virtuálního centra. Můžete to udělat tak, že přejdete do služby Virtual WAN a vyberete centrum, abyste otevřeli stránku centra, nebo můžete přejít do připojeného virtuálního centra z lokality VPN.
V části Připojení vyberte VPN (Site-to-Site).
Vyberte tři tečky (...) nebo klikněte pravým tlačítkem myši na lokalitu VPN přes ExpressRoute a vyberte Upravit připojení VPN k tomuto centru.
Na stránce Základy ponechte výchozí hodnoty.
Na stránce Propojení připojení 1 nakonfigurujte následující nastavení:
- Pokud chcete použít privátní IP adresu Azure, vyberte Ano. Toto nastavení nakonfiguruje bránu VPN centra tak, aby místo veřejných IP adres používala privátní IP adresy v rozsahu adres centra v bráně pro toto připojení. Tím se zajistí, že provoz z místní sítě prochází cestami privátního partnerského vztahu ExpressRoute místo použití veřejného internetu pro toto připojení VPN.
Kliknutím na Vytvořit aktualizujte nastavení. Po vytvoření nastavení použije brána VPN centra privátní IP adresy v bráně VPN k navázání připojení IPsec/IKE k místnímu zařízení VPN přes ExpressRoute.
4. Získání privátních IP adres pro bránu VPN centra
Stáhněte konfiguraci zařízení VPN, abyste získali privátní IP adresy brány VPN centra. Tyto adresy potřebujete ke konfiguraci místního zařízení VPN.
Na stránce vašeho centra v části Připojení vyberte VPN (Site-to-Site).
V horní části stránky Přehled vyberte Stáhnout konfiguraci sítě VPN.
Azure vytvoří účet úložiště ve skupině prostředků microsoft-network-[location], kde umístění je umístění sítě WAN. Po použití konfigurace pro zařízení VPN můžete tento účet úložiště odstranit.
Po vytvoření souboru vyberte odkaz, který chcete stáhnout.
Použijte konfiguraci ve svém zařízení VPN.
Konfigurační soubor zařízení VPN
Konfigurační soubor zařízení obsahuje nastavení, která se mají použít při konfiguraci místního zařízení VPN. Při prohlížení souboru si všimněte následujících informací:
vpnSiteConfiguration: Tato část označuje podrobnosti o zařízení nastavené jako lokalitu, která se připojuje k virtuální síti WAN. Zahrnuje název a veřejnou IP adresu zařízení větve.
vpnSiteConnections: Tato část obsahuje informace o následujících nastaveních:
- Adresní prostor virtuální sítě virtuálního centra
Příklad:"AddressSpace":"10.51.230.0/24"
- Adresní prostor virtuálních sítí připojených k centru
Příklad:"ConnectedSubnets":["10.51.231.0/24"]
- IP adresy brány VPN virtuálního centra. Vzhledem k tomu, že každé připojení brány VPN se skládá ze dvou tunelů v konfiguraci aktivní-aktivní, uvidíte obě IP adresy uvedené v tomto souboru. V tomto příkladu uvidíte
Instance0
aInstance1
pro každou lokalitu a jsou to privátní IP adresy místo veřejných IP adres.
Příklad:"Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
- Podrobnosti konfigurace pro připojení brány VPN, jako je BGP a předsdílený klíč. Předsdílený klíč se automaticky vygeneruje za vás. Připojení můžete kdykoli upravit na stránce Přehled pro vlastní předsdílený klíč.
- Adresní prostor virtuální sítě virtuálního centra
Příklad konfiguračního souboru zařízení
[{
"configurationVersion":{
"LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
"Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
},
"vpnSiteConfiguration":{
"Name":"VPN-over-ER-site",
"IPAddress":"172.24.127.211",
"LinkName":"VPN-over-ER"
},
"vpnSiteConnections":[{
"hubConfiguration":{
"AddressSpace":"10.51.230.0/24",
"Region":"West US 2",
"ConnectedSubnets":["10.51.231.0/24"]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"10.51.230.4",
"Instance1":"10.51.230.5"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"abc123",
"IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
}
}]
},
{
"configurationVersion":{
"LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
"Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
},
"vpnSiteConfiguration":{
"Name":"VPN-over-INet-site",
"IPAddress":"198.51.100.122",
"LinkName":"VPN-over-INet"
},
"vpnSiteConnections":[{
"hubConfiguration":{
"AddressSpace":"10.51.230.0/24",
"Region":"West US 2",
"ConnectedSubnets":["10.51.231.0/24"]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"203.0.113.186",
"Instance1":"203.0.113.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"abc123",
"IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
}
}]
}]
Konfigurace zařízení VPN
Pokud potřebujete pokyny ke konfiguraci zařízení, můžete použít pokyny na stránce se skripty konfigurace zařízení VPN, pokud vezmete v úvahu následující upozornění:
- Pokyny na stránce zařízení VPN nejsou napsané pro virtuální síť WAN. K ruční konfiguraci zařízení VPN ale můžete použít hodnoty virtuální sítě WAN z konfiguračního souboru.
- Skripty konfigurace zařízení ke stažení, které jsou pro bránu VPN Gateway, nefungují pro virtuální síť WAN, protože konfigurace se liší.
- Nová virtuální síť WAN může podporovat IKEv1 i IKEv2.
- Virtuální síť WAN může používat pouze zařízení VPN založená na směrování a pokyny pro zařízení.
5. Zobrazení virtuální sítě WAN
- Přejděte na virtuální síť WAN.
- Na stránce Přehled představuje každý bod na mapě centrum.
- V části Rozbočovače a připojení můžete zobrazit stav rozbočovače, lokality, oblasti a připojení VPN. Můžete také zobrazit bajty v a ven.
6. Monitorování připojení
Vytvořte připojení pro monitorování komunikace mezi virtuálním počítačem Azure a vzdálenou lokalitou. Informace o tom, jak nastavit monitorování připojení, najdete v článku Monitorování síťové komunikace. Zdrojové pole je IP adresa virtuálního počítače v Azure a cílovou IP adresou je IP adresa lokality.
7. Vyčištění prostředků
Pokud už tyto prostředky nepotřebujete, můžete k odebrání skupiny prostředků a všech prostředků, které obsahuje, použít Remove-AzResourceGroup . Spusťte následující příkaz PowerShellu a nahraďte myResourceGroup
názvem vaší skupiny prostředků:
Remove-AzResourceGroup -Name myResourceGroup -Force
Další kroky
Tento článek vám pomůže vytvořit připojení VPN přes privátní partnerský vztah ExpressRoute pomocí služby Virtual WAN. Další informace o službě Virtual WAN a souvisejících funkcích najdete v přehledu služby Virtual WAN.