Konfigurace sítě SITE-to-Site VPN ve virtuální síti WAN pro Azure VMware Solution

  • Článek

V tomto článku vytvoříte tunel VPN (IPsec IKEv1 a IKEv2), který se ukončuje v centru Virtual WAN Microsoft Azure. Centrum obsahuje bránu Azure VMware Solution ExpressRoute a bránu VPN typu site-to-site. Připojí místní zařízení VPN ke koncovému bodu Azure VMware Solution.

Diagram znázorňující architekturu tunelu VPN typu site-to-site

Požadavky

Na místním zařízení VPN musíte mít ukončenou veřejnou IP adresu.

Vytvoření Virtual WAN Azure

  1. Na portálu na panelu Hledat prostředky zadejte do vyhledávacího pole Virtual WAN a stiskněte Enter.

  2. Ve výsledcích vyberte Virtuální sítě WAN . Na stránce Virtuální sítě WAN vyberte + Vytvořit . Otevře se stránka Vytvořit síť WAN .

  3. Na stránce Vytvořit síť WAN na kartě Základy vyplňte pole. Upravte ukázkové hodnoty tak, aby platily pro vaše prostředí.

    Snímek obrazovky znázorňující podokno Vytvořit síť WAN s vybranou kartou Základy

    • Předplatné: Vyberte předplatné, které chcete použít.
    • Skupina prostředků: Vytvořte novou nebo použijte existující.
    • Umístění skupiny prostředků: Zvolte umístění prostředku z rozevíracího seznamu. Síť WAN je globální prostředek a nežije v konkrétní oblasti. Musíte ale vybrat oblast, abyste mohli spravovat a vyhledávat prostředek sítě WAN, který vytvoříte.
    • Název: Zadejte název, který chcete volat virtuální síť WAN.
    • Typ: Basic nebo Standard. Vyberte Standardní. Pokud vyberete Základní, uvědomte si, že virtuální sítě WAN úrovně Basic můžou obsahovat pouze centra úrovně Basic. Základní rozbočovače lze použít pouze pro připojení typu site-to-site.

  4. Po vyplnění polí vyberte dole na stránce Zkontrolovat a vytvořit.

  5. Po ověření klikněte na Vytvořit a vytvořte virtuální síť WAN.

Vytvoření virtuálního centra

Virtuální centrum je virtuální síť vytvořená a používaná Virtual WAN. Je jádrem vaší Virtual WAN sítě v oblasti. Může obsahovat brány pro site-to-site a ExpressRoute.

Tip

Bránu můžete vytvořit také v existujícím centru.

  1. Přejděte do virtuální sítě WAN, kterou jste vytvořili. V levém podokně stránky Virtual WAN v části Připojení vyberte Centra.

  2. Na stránce Centra vyberte +Nové centrum a otevřete stránku Vytvořit virtuální centrum .

    Snímek obrazovky s podoknem Vytvořit virtuální centrum s vybranou kartou Základy

  3. Na stránce Vytvořit virtuální centrum na kartě Základy vyplňte následující pole:

    • Oblast: Vyberte oblast, ve které chcete virtuální centrum nasadit.
    • Název: Název, podle kterého má být virtuální centrum známé.
    • Privátní adresní prostor centra: Rozsah adres centra v zápisu CIDR. Minimální adresní prostor pro vytvoření centra je /24.
    • Kapacita virtuálního centra: Vyberte z rozevíracího seznamu. Další informace najdete v tématu Nastavení virtuálního centra.
    • Předvolba směrování centra: Ponechte výchozí nastavení. Další informace najdete v tématu Předvolby směrování virtuálního centra.

Vytvoření brány VPN

  1. Na stránce Vytvořit virtuální centrum kliknutím na možnost Site-to-Site otevřete kartu Site-to-Site .

    Snímek obrazovky s podoknem Vytvořit virtuální centrum s vybranou možností Site-to-Site

  2. Na kartě Site-to-site vyplňte následující pole:

    • Výběrem možnosti Ano vytvořte síť VPN typu Site-to-Site.

    • AS Číslo: Pole ČÍSLO AS nejde upravit.

    • Jednotky škálování brány: V rozevíracím seznamu vyberte hodnotu Jednotky škálování brány . Jednotka škálování umožňuje vybrat agregovanou propustnost brány VPN, která se vytváří ve virtuálním centru pro připojení lokalit.

      Pokud vyberete 1 jednotku škálování = 500 Mb/s, znamená to, že se vytvoří dvě instance redundance, z nichž každá má maximální propustnost 500 Mb/s. Pokud jste například měli pět větví, z nichž každá ve větvi provádí 10 Mb/s, budete potřebovat agregaci 50 Mb/s na hlavním konci. Plánování agregované kapacity služby Azure VPN Gateway by se mělo provést po posouzení kapacity potřebné k podpoře počtu větví v centru.

    • Předvolba směrování: Předvolba směrování Azure umožňuje zvolit způsob směrování provozu mezi Azure a internetem. Provoz můžete směrovat buď přes síť Microsoft, nebo přes síť isp (veřejný internet). Tyto možnosti se také označují jako směrování studených brambor a směrování horkých brambor.

      Veřejná IP adresa v Virtual WAN je přiřazena službou na základě vybrané možnosti směrování. Další informace o předvolbách směrování přes síť Microsoft nebo isp najdete v článku Předvolby směrování .

  3. Vyberte Zkontrolovat a vytvořit a ověřte to.

  4. Výběrem možnosti Vytvořit vytvořte centrum a bránu. Toto může trvat až 30 minut. Po 30 minutách aktualizujte centrum na stránce Centra . Výběrem možnosti Přejít k prostředku přejděte k prostředku.

Vytvoření S2S (Site-to-site) VPN

  1. V Azure Portal vyberte virtuální síť WAN, kterou jste vytvořili dříve.

  2. V přehledu virtuálního centra vyberte Připojení>VPN (Site-to-Site)>Vytvořit novou lokalitu VPN.

    Snímek obrazovky se stránkou Přehled pro virtuální centrum s vybranými možnostmi VPN (site-to-site) a Vytvořit novou lokalitu VPN

  3. Na kartě Základy zadejte požadovaná pole.

    Snímek obrazovky se stránkou Vytvořit lokalitu VPN s otevřenou kartou Základy

    • Oblast – dříve se označuje jako umístění. Jedná se o umístění, ve které chcete vytvořit tento prostředek webu.

    • Název – název, kterým chcete odkazovat na místní lokalitu.

    • Dodavatel zařízení – název dodavatele zařízení VPN, například Citrix, Cisco nebo Barracuda. Pomáhá týmu Azure lépe porozumět vašemu prostředí, aby v budoucnu přidal další možnosti optimalizace nebo vám pomohl s řešením potíží.

    • Privátní adresní prostor – adresní prostor IP adres CIDR umístěný ve vaší místní lokalitě. Provoz určený do tohoto adresního prostoru se přesměruje do místní lokality. Blok CIDR se vyžaduje jenom v případě, že pro lokalitu není povolený protokol BGP .

    Poznámka

    Pokud po vytvoření webu upravíte adresní prostor (například přidáte další adresní prostor), může při opětovném vytváření součástí trvat 8 až 10 minut, než se aktualizují efektivní trasy.

  4. Vyberte Odkazy a přidejte informace o fyzických propojeních ve větvi. Pokud máte zařízení CPE Virtual WAN partnera, zkontrolujte u tohoto partnera, jestli se tyto informace vyměňují s Azure v rámci nahrávání informací pobočky nastaveného z jejich systémů.

    Zadáním názvů propojení a zprostředkovatele můžete rozlišovat mezi libovolným počtem bran, které mohou být nakonec vytvořeny jako součást centra. Protokol BGP a číslo autonomního systému (ASN) musí být v rámci vaší organizace jedinečné. Protokol BGP zajišťuje, že Azure VMware Solution i místní servery inzerují své trasy přes tunel. Pokud je tato možnost zakázaná, musí se podsítě, které je potřeba inzerovat, udržovat ručně. Pokud dojde k vynechání podsítí, hcx se nepodaří vytvořit síť služeb.

    Důležité

    Ve výchozím nastavení Azure přiřadí privátní IP adresu z rozsahu předpon GatewaySubnet automaticky jako IP adresu Azure BGP brány Azure VPN. Vlastní adresa Azure APIPA BGP je potřeba, když vaše místní zařízení VPN používají adresu APIPA (169.254.0.1 až 169.254.255.254) jako IP adresu protokolu BGP. Azure VPN Gateway zvolí vlastní adresu APIPA, pokud má odpovídající prostředek brány místní sítě (místní síť) adresu APIPA jako IP adresu partnera protokolu BGP. Pokud brána místní sítě používá běžnou IP adresu (ne APIPA), Azure VPN Gateway se vrátí k privátní IP adrese z rozsahu GatewaySubnet.

    Snímek obrazovky zobrazující stránku Vytvořit lokalitu VPN s otevřenou kartou Odkazy

  5. Vyberte Zkontrolovat a vytvořit.

  6. Přejděte k požadovanému virtuálnímu centru a zrušte zaškrtnutí políčka Přidružení centra , abyste připojili lokalitu VPN k housli.

    Snímek obrazovky ukazuje Připojení k tomuto centru.

(Volitelné) Vytváření tunelů VPN site-to-site založených na zásadách

Důležité

Tento krok je volitelný a vztahuje se pouze na sítě VPN založené na zásadách.

Nastavení sítě VPN založené na zásadách vyžaduje zadání místních a Azure VMware Solution sítí, včetně rozsahů rozbočovačů. Tyto rozsahy určují doménu šifrování místního koncového bodu tunelu VPN založeného na zásadách. Na straně Azure VMware Solution je potřeba povolit jenom indikátor selektoru provozu na základě zásad.

  1. V Azure Portal přejděte na lokalitu centra Virtual WAN a v části Připojení vyberte VPN (site-to-site).

  2. Vyberte lokalitu VPN, pro kterou chcete nastavit vlastní zásady protokolu IPsec.

    Snímek obrazovky s existujícími lokalitami VPN pro nastavení zásad IPsec pro zákazníky

  3. Vyberte název lokality VPN, úplně vpravo vyberte Další (...) a pak vyberte Upravit připojení VPN.

    Snímek obrazovky zobrazující místní nabídku pro existující lokalitu VPN

    • IpSec (Internet Protocol Security), vyberte Vlastní.

    • Použijte selektor provozu na základě zásad a vyberte Povolit.

    • Zadejte podrobnosti pro protokol IKE fáze 1 a IKE fáze 2 (ipsec).

  4. Změňte výchozí nastavení protokolu IPsec na vlastní a přizpůsobte zásady IPsec. Pak vyberte Uložit.

    Snímek obrazovky se stávajícími lokalitami VPN

    Selektory provozu nebo podsítě, které jsou součástí domény šifrování založené na zásadách, by měly být:

    • centrum Virtual WAN/24

    • Azure VMware Solution privátního cloudu/22

    • Připojená virtuální síť Azure (pokud existuje)

Připojení lokality VPN k centru

  1. Vyberte název lokality VPN a pak vyberte Připojit lokality VPN.

  2. Do pole Předsdílený klíč zadejte klíč dříve definovaný pro místní koncový bod.

    Tip

    Pokud nemáte dříve definovaný klíč, můžete toto pole ponechat prázdné. Klíč se vygeneruje automaticky.

    Snímek obrazovky znázorňující podokno Připojené weby pro virtuální centrum připravené na předsdílený klíč a související nastavení

  3. Pokud nasazujete bránu firewall v centru a jedná se o další segment směrování, nastavte možnost Rozšířit výchozí trasu na Povolit.

    Pokud je tato možnost povolená, rozšíří se centrum Virtual WAN do připojení jenom v případě, že už centrum zjistilo výchozí trasu při nasazování brány firewall v centru nebo pokud má vynucené tunelování povolené jiné připojené lokality. Výchozí trasa nepochází z centra Virtual WAN.

  4. Vyberte Connect (Připojit). Po několika minutách se na webu zobrazí připojení a stav připojení.

    Snímek obrazovky znázorňující připojení typu site-to-site a stav připojení

    Stav připojení: Stav prostředku Azure pro připojení, které připojuje lokalitu VPN k bráně VPN centra Azure. Jakmile je tato operace řídicí roviny úspěšná, brána Azure VPN Gateway a místní zařízení VPN naváže připojení.

    Stav připojení: Skutečný stav připojení (cesty k datům) mezi službou VPN Gateway Azure v centru a lokalitou VPN. Může zobrazit některý z následujících stavů:

    • Neznámé: Obvykle se zobrazuje, když back-endové systémy pracují na přechodu do jiného stavu.
    • Připojení: Azure VPN Gateway se pokouší spojit se skutečnou místní lokalitou VPN.
    • Připojeno: Navázané připojení mezi službou Azure VPN Gateway a místní lokalitou VPN.
    • Odpojeno: Obvykle se zobrazí, pokud je odpojeno z nějakého důvodu (v místním prostředí nebo v Azure).

  5. Stáhněte si konfigurační soubor SÍTĚ VPN a použijte ho na místní koncový bod.

    1. Na stránce VPN (site-to-site) v horní části vyberte Stáhnout konfiguraci sítě VPN. Azure vytvoří účet úložiště ve skupině prostředků microsoft-network-[location], kde umístění je umístění sítě WAN. Až tuto konfiguraci použijete ve svých zařízeních VPN, můžete tento účet úložiště odstranit.

    2. Po vytvoření vyberte odkaz a stáhněte si ho.

    3. Konfiguraci použijte u svého místního zařízení VPN.

    Další informace o konfiguračním souboru najdete v tématu Informace o konfiguračním souboru zařízení VPN.

  6. Opravte Azure VMware Solution ExpressRoute v centru Virtual WAN.

    Důležité

    Než budete moct platformu opravit, musíte nejprve vytvořit privátní cloud.

    1. V Azure Portal přejděte do Azure VMware Solution privátního cloudu. Vyberte Spravovat>připojení>ExpressRoute a pak vyberte + Požádat o autorizační klíč.

      Snímek obrazovky znázorňující, jak požádat o autorizační klíč ExpressRoute

    2. Zadejte název a vyberte Vytvořit.

      Vytvoření klíče může trvat přibližně 30 sekund. Po vytvoření se nový klíč zobrazí v seznamu autorizačních klíčů pro privátní cloud.

      Snímek obrazovky znázorňující autorizační klíč ExpressRoute Global Reach

    3. Zkopírujte autorizační klíč a ID ExpressRoute. Budete je potřebovat k dokončení partnerského vztahu. Autorizační klíč po nějaké době zmizí, takže ho hned, jak se zobrazí, zkopírujte.

  7. Propojte Azure VMware Solution a bránu VPN v centru Virtual WAN. Použijete autorizační klíč a ID ExpressRoute (identifikátor URI partnerského okruhu) z předchozího kroku.

    1. Vyberte bránu ExpressRoute a pak vyberte Uplatnit autorizační klíč.

      Snímek obrazovky se stránkou ExpressRoute pro privátní cloud s vybraným autorizačním klíčem Uplatnit

    2. Vložte autorizační klíč do pole Autorizační klíč .

    3. Vložte ID ExpressRoute do pole URI partnerského okruhu .

    4. Zaškrtněte políčko Automaticky přidružit tento okruh ExpressRoute k centru .

    5. Vyberte Přidat a vytvořte propojení.

  8. Otestujte připojení vytvořením segmentu datového centra NSX-T a zřízením virtuálního počítače v síti. Příkazem Ping otestujte místní i Azure VMware Solution koncový bod.

    Poznámka

    Počkejte přibližně 5 minut, než otestujete připojení z klienta za okruhem ExpressRoute, například virtuálního počítače ve virtuální síti, kterou jste vytvořili dříve.