Konfigurace sítě VPN typu site-to-site přes partnerský vztah Microsoftu ExpressRoute

Tento článek vám pomůže nakonfigurovat zabezpečené šifrované připojení mezi vaší místní sítí a virtuálními sítěmi Azure přes privátní připojení ExpressRoute. Partnerský vztah Microsoftu můžete použít k vytvoření tunelu VPN typu site-to-site IPsec/IKE mezi vybranými místními sítěmi a virtuálními sítěmi Azure. Konfigurace zabezpečeného tunelu přes ExpressRoute umožňuje výměnu dat s důvěrností, antireplay, pravostí a integritou.

Poznámka:

Když nastavíte síť VPN typu site-to-site přes partnerský vztah Microsoftu, budou se vám účtovat poplatky za bránu VPN a výchozí přenos dat VPN. Další informace najdete v tématu o cenách služby VPN Gateway.

Kroky a příklady v tomto článku používají moduly Az Azure PowerShellu. Pokud chcete moduly Az nainstalovat místně do počítače, přečtěte si téma Instalace Azure PowerShellu. Další informace o novém modulu Az najdete v tématu Představení nového modulu Az Azure PowerShellu. Rutiny PowerShellu se často aktualizují. Pokud nepoužíváte nejnovější verzi, může dojít k selhání hodnot zadaných v pokynech. K vyhledání nainstalovaných verzí PowerShellu ve vašem systému použijte rutinu Get-Module -ListAvailable Az .

Architektura

Diagram of two IPsec tunnels over an ExpressRoute Microsoft peering connection.

Pro zajištění vysoké dostupnosti a redundance můžete nakonfigurovat více tunelů přes dva páry MSEE-PE okruhu ExpressRoute a povolit vyrovnávání zatížení mezi tunely.

Diagram of multiple IPsec tunnels to create high availability over an ExpressRoute Microsoft peering connection.

Tunely VPN přes partnerský vztah Microsoftu je možné ukončit buď pomocí brány VPN, nebo pomocí vhodného síťového virtuálního zařízení dostupného prostřednictvím Azure Marketplace. Trasy můžete vyměňovat staticky nebo dynamicky přes šifrované tunely bez vystavení výměny tras podkladovému partnerskému vztahu Microsoftu. V příkladech v tomto článku se protokol BGP (jiný než relace protokolu BGP sloužící k vytvoření partnerského vztahu Microsoftu) používá k dynamické výměně předpon nad šifrovanými tunely.

Důležité

U místní strany se obvykle partnerský vztah Microsoftu ukončí v zóně DMZ a privátní partnerský vztah se ukončí v zóně základní sítě. Dvě zóny by se oddělily pomocí bran firewall. Pokud konfigurujete partnerský vztah Microsoftu výhradně pro povolení zabezpečeného tunelování přes ExpressRoute, nezapomeňte filtrovat jenom veřejné IP adresy, které se inzerují prostřednictvím partnerského vztahu Microsoftu.

Workflow

  1. Nakonfigurujte partnerský vztah Microsoftu pro váš okruh ExpressRoute.
  2. Inzerujte vybrané veřejné předpony Azure do místní sítě prostřednictvím partnerského vztahu Microsoftu.
  3. Konfigurace brány VPN a vytvoření tunelů IPsec
  4. Nakonfigurujte místní zařízení VPN.
  5. Vytvořte připojení IPsec/IKE typu site-to-site.
  6. (Volitelné) Nakonfigurujte brány firewall a filtrování na místním zařízení VPN.
  7. Otestujte a ověřte komunikaci protokolu IPsec přes okruh ExpressRoute.

1. Konfigurace partnerského vztahu Microsoftu

Pokud chcete nakonfigurovat připojení VPN typu site-to-site přes ExpressRoute, musíte použít partnerský vztah ExpressRoute Microsoftu.

Jakmile nakonfigurujete okruh a partnerský vztah Microsoftu, můžete ho snadno zobrazit na stránce Přehled na webu Azure Portal.

Screenshot of the overview page of an ExpressRoute circuit.

2. Konfigurace filtrů tras

Filtr tras umožňuje identifikovat služby, které chcete využívat prostřednictvím partnerského vztahu Microsoftu s vaším okruhem ExpressRoute. Jedná se v podstatě o seznam povolených všech hodnot komunity protokolu BGP.

Screenshot of a route filter overview page.

V tomto příkladu je nasazení pouze v oblasti Azure USA – západ 2 . Přidá se pravidlo filtru tras, které povolí jenom inzerování předpon oblastí Azure USA – západ 2, které má hodnotu komunity protokolu BGP 12076:51026. Místní předpony, které chcete povolit, zadáte výběrem možnosti Spravovat pravidlo.

V rámci filtru tras musíte také zvolit okruhy ExpressRoute, pro které se použije filtr tras. Okruhy ExpressRoute můžete zvolit tak , že vyberete Přidat okruh. Na předchozím obrázku je filtr tras přidružený k ukázku okruhu ExpressRoute.

2.1 Konfigurace filtru tras

Nakonfigurujte filtr tras. Postup najdete v tématu Konfigurace filtrů tras pro partnerský vztah Microsoftu.

2.2 Ověření tras protokolu BGP

Po úspěšném vytvoření partnerského vztahu Microsoftu přes okruh ExpressRoute a přidružení filtru tras k okruhu můžete ověřit trasy protokolu BGP přijaté z prostředí MSEEs na zařízeních PE, která jsou v partnerském vztahu se službou MSEEs. Ověřovací příkaz se liší v závislosti na operačním systému zařízení PE.

Příklady Cisco

Tento příklad používá příkaz Cisco IOS-XE. V tomto příkladu se k izolaci provozu partnerského vztahu používá virtuální směrování a předávání (VRF).

show ip bgp vpnv4 vrf 10 summary

Následující částečný výstup ukazuje, že ze souseda *.243.229.34 s ASN 12076 (MSEE) bylo přijato 68 předpon:

...

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
X.243.229.34    4        12076   17671   17650    25228    0    0 1w4d           68

Pokud chcete zobrazit seznam předpon přijatých od souseda, použijte následující příklad:

sh ip bgp vpnv4 vrf 10 neighbors X.243.229.34 received-routes

Pokud chcete potvrdit, že dostáváte správnou sadu předpon, můžete křížově ověřit. Následující výstup příkazu Azure PowerShellu uvádí předpony inzerované prostřednictvím partnerského vztahu Microsoftu pro každou z těchto služeb a pro každou oblast Azure:

Get-AzBgpServiceCommunity

3. Konfigurace brány VPN a tunelů IPsec

V této části se tunely VPN IPsec vytvářejí mezi službou Azure VPN Gateway a místním zařízením VPN. Příklady používají zařízení VPN Cisco Cloud Service Router (CSR1000).

Následující diagram znázorňuje tunely VPN IPsec vytvořené mezi místním zařízením VPN 1 a párem instancí služby Azure VPN Gateway. Dva tunely IPsec VPN vytvořené mezi místním zařízením VPN 2 a párem instancí služby Azure VPN Gateway se v diagramu nezobrazují. Podrobnosti o konfiguraci nejsou uvedené. Větší počet tunelů VPN ale zvyšuje vysokou dostupnost.

Diagram of an established VPN tunnel over ExpressRoute.

Přes dvojici tunelového propojení IPsec se vytvoří relace protokolu eBGP pro výměnu tras privátní sítě. Následující diagram znázorňuje relaci eBGP vytvořenou přes dvojici tunelového propojení IPsec:

Diagram of an established eBGP session over the IPsec tunnel.

Následující diagram znázorňuje abstraktovaný přehled ukázkové sítě:

Diagram of a network environment once VPN gets established between on-premises and Azure.

Příklady šablon Azure Resource Manageru

V příkladech se brána VPN a ukončení tunelu IPsec konfigurují pomocí šablony Azure Resource Manageru. Pokud s používáním šablon Resource Manageru začínáte nebo rozumíte základům šablon Resource Manageru, přečtěte si téma Principy struktury a syntaxe šablon Azure Resource Manageru. Šablona v této části vytvoří zelené pole prostředí Azure (VNet). Pokud ale máte existující virtuální síť, můžete na ni odkazovat v šabloně. Pokud neznáte konfigurace site-to-site brány VPN IPsec/IKE, přečtěte si téma Vytvoření připojení typu site-to-site.

Poznámka:

K vytvoření této konfigurace nemusíte používat šablony Azure Resource Manageru. Tuto konfiguraci můžete vytvořit pomocí webu Azure Portal nebo PowerShellu.

3.1 Deklarace proměnných

V tomto příkladu deklarace proměnných odpovídají ukázkové síti. Při deklarování proměnných upravte tuto část tak, aby odrážela vaše prostředí.

  • Proměnná localAddressPrefix je pole místních IP adres pro ukončení tunelů IPsec.
  • GatewaySku určuje propustnost sítě VPN. Další informace o bráně GatewaySku a vpnType najdete v tématu Nastavení konfigurace služby VPN Gateway. Ceny najdete v tématu s cenami služby VPN Gateway.
  • Nastavte vpnType na RouteBased.
"variables": {
  "virtualNetworkName": "SecureVNet",       // Name of the Azure VNet
  "azureVNetAddressPrefix": "10.2.0.0/24",  // Address space assigned to the VNet
  "subnetName": "Tenant",                   // subnet name in which tenants exists
  "subnetPrefix": "10.2.0.0/25",            // address space of the tenant subnet
  "gatewaySubnetPrefix": "10.2.0.224/27",   // address space of the gateway subnet
  "localGatewayName": "localGW1",           // name of remote gateway (on-premises)
  "localGatewayIpAddress": "X.243.229.110", // public IP address of the on-premises VPN device
  "localAddressPrefix": [
    "172.16.0.1/32",                        // termination of IPsec tunnel-1 on-premises 
    "172.16.0.2/32"                         // termination of IPsec tunnel-2 on-premises 
  ],
  "gatewayPublicIPName1": "vpnGwVIP1",    // Public address name of the first VPN gateway instance
  "gatewayPublicIPName2": "vpnGwVIP2",    // Public address name of the second VPN gateway instance 
  "gatewayName": "vpnGw",                 // Name of the Azure VPN gateway
  "gatewaySku": "VpnGw1",                 // Azure VPN gateway SKU
  "vpnType": "RouteBased",                // type of VPN gateway
  "sharedKey": "string",                  // shared secret needs to match with on-premises configuration
  "asnVpnGateway": 65000,                 // BGP Autonomous System number assigned to the VPN Gateway 
  "asnRemote": 65010,                     // BGP Autonmous Syste number assigned to the on-premises device
  "bgpPeeringAddress": "172.16.0.3",      // IP address of the remote BGP peer on-premises
  "connectionName": "vpn2local1",
  "vnetID": "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]",
  "gatewaySubnetRef": "[concat(variables('vnetID'),'/subnets/','GatewaySubnet')]",
  "subnetRef": "[concat(variables('vnetID'),'/subnets/',variables('subnetName'))]",
  "api-version": "2017-06-01"
},

3.2 Vytvoření virtuální sítě

Pokud přidružujete existující virtuální síť k tunelům VPN, můžete tento krok přeskočit.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/virtualNetworks",
  "name": "[variables('virtualNetworkName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "addressSpace": {
      "addressPrefixes": [
        "[variables('azureVNetAddressPrefix')]"
      ]
    },
    "subnets": [
      {
        "name": "[variables('subnetName')]",
        "properties": {
          "addressPrefix": "[variables('subnetPrefix')]"
        }
      },
      {
        "name": "GatewaySubnet",
        "properties": {
          "addressPrefix": "[variables('gatewaySubnetPrefix')]"
        }
      }
    ]
  },
  "comments": "Create a Virtual Network with Subnet1 and Gatewaysubnet"
},

3.3 Přiřazení veřejných IP adres instancím brány VPN

Přiřaďte veřejnou IP adresu pro každou instanci brány VPN.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName1')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the first instance of the VPN gateway"
  },
  {
    "apiVersion": "[variables('api-version')]",
    "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName2')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the second instance of the VPN gateway"
  },

3.4 Určení ukončení místního tunelu VPN (brána místní sítě)

Místní zařízení VPN se označují jako brána místní sítě. Následující fragment kódu JSON také určuje podrobnosti o vzdáleném partnerském vztahu protokolu BGP:

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/localNetworkGateways",
  "name": "[variables('localGatewayName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "localNetworkAddressSpace": {
      "addressPrefixes": "[variables('localAddressPrefix')]"
    },
    "gatewayIpAddress": "[variables('localGatewayIpAddress')]",
    "bgpSettings": {
      "asn": "[variables('asnRemote')]",
      "bgpPeeringAddress": "[variables('bgpPeeringAddress')]",
      "peerWeight": 0
    }
  },
  "comments": "Local Network Gateway (referred to your on-premises location) with IP address of remote tunnel peering and IP address of remote BGP peer"
},

3.5 Vytvoření brány VPN

Tato část šablony nakonfiguruje bránu VPN s požadovanými nastaveními pro konfiguraci aktivní-aktivní. Mějte na paměti následující požadavky:

  • Vytvořte bránu VPN s typem VpnType RouteBased . Toto nastavení je povinné, pokud chcete povolit směrování protokolu BGP mezi bránou VPN a místní sítí VPN.
  • Pokud chcete vytvořit tunely VPN mezi dvěma instancemi brány VPN a daným místním zařízením v režimu aktivní-aktivní, nastaví se parametr activeActive v šabloně Resource Manageru na hodnotu true . Další informace o vysoce dostupných branách VPN najdete v tématu Připojení brány VPN s vysokou dostupností.
  • Pokud chcete nakonfigurovat relace protokolu eBGP mezi tunely VPN, musíte na obou stranách zadat dvě různé sítě ASN. Je vhodnější zadat soukromá čísla ASN. Další informace najdete v tématu Přehled bran BGP a Azure VPN Gateway.
{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/virtualNetworkGateways",
"name": "[variables('gatewayName')]",
"location": "[resourceGroup().location]",
"dependsOn": [
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName1'))]",
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName2'))]",
  "[concat('Microsoft.Network/virtualNetworks/', variables('virtualNetworkName'))]"
],
"properties": {
  "ipConfigurations": [
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName1'))]"
        }
      },
      "name": "vnetGtwConfig1"
    },
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName2'))]"
        }
      },
          "name": "vnetGtwConfig2"
        }
      ],
      "sku": {
        "name": "[variables('gatewaySku')]",
        "tier": "[variables('gatewaySku')]"
      },
      "gatewayType": "Vpn",
      "vpnType": "[variables('vpnType')]",
      "enableBgp": true,
      "activeActive": true,
      "bgpSettings": {
        "asn": "[variables('asnVpnGateway')]"
      }
    },
    "comments": "VPN Gateway in active-active configuration with BGP support"
  },

3.6 Vytvoření tunelů IPsec

Konečná akce skriptu vytvoří tunely IPsec mezi bránou Azure VPN a místním zařízením VPN.

{
  "apiVersion": "[variables('api-version')]",
  "name": "[variables('connectionName')]",
  "type": "Microsoft.Network/connections",
  "location": "[resourceGroup().location]",
  "dependsOn": [
    "[concat('Microsoft.Network/virtualNetworkGateways/', variables('gatewayName'))]",
    "[concat('Microsoft.Network/localNetworkGateways/', variables('localGatewayName'))]"
  ],
  "properties": {
    "virtualNetworkGateway1": {
      "id": "[resourceId('Microsoft.Network/virtualNetworkGateways', variables('gatewayName'))]"
    },
    "localNetworkGateway2": {
      "id": "[resourceId('Microsoft.Network/localNetworkGateways', variables('localGatewayName'))]"
    },
    "connectionType": "IPsec",
    "routingWeight": 0,
    "sharedKey": "[variables('sharedKey')]",
    "enableBGP": "true"
  },
  "comments": "Create a Connection type site-to-site (IPsec) between the Azure VPN Gateway and the VPN device on-premises"
  }

4. Konfigurace místního zařízení VPN

Azure VPN Gateway je kompatibilní s mnoha zařízeními VPN od různých dodavatelů. Informace o konfiguraci a zařízení, která byla ověřena pro práci s bránou VPN, najdete v tématu O zařízeních VPN.

Při konfiguraci zařízení VPN potřebujete následující položky:

  • Sdílený klíč. Tato hodnota je stejný sdílený klíč, který zadáte při vytváření připojení VPN typu site-to-site. Příklady používají základní sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
  • Veřejná IP adresa vaší brány VPN. Veřejnou IP adresu můžete zobrazit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku. Pokud chcete najít veřejnou IP adresu brány VPN pomocí webu Azure Portal, přejděte na brány virtuální sítě a pak vyberte název brány.

Partnerské vztahy eBGP jsou obvykle přímo připojené (často přes připojení WAN). Pokud ale konfigurujete eBGP přes tunely IPsec VPN prostřednictvím partnerského vztahu ExpressRoute Microsoftu, mezi partnerskými vztahy eBGP existuje několik domén směrování. Pomocí příkazu ebgp-multihop vytvořte vztah souseda eBGP mezi dvěma nesměrovými partnerskými vztahy přímo připojenými. Celé číslo, které následuje po příkazu ebgp-multihop, určuje hodnotu TTL v paketech protokolu BGP. Příkaz maximum-paths eibgp 2 umožňuje vyrovnávání zatížení provozu mezi těmito dvěma cestami protokolu BGP.

Příklad cisco CSR1000

Následující příklad ukazuje konfiguraci cisco CSR1000 ve virtuálním počítači Hyper-V jako místní zařízení VPN:

!
crypto ikev2 proposal az-PROPOSAL
 encryption aes-cbc-256 aes-cbc-128 3des
 integrity sha1
 group 2
!
crypto ikev2 policy az-POLICY
 proposal az-PROPOSAL
!
crypto ikev2 keyring key-peer1
 peer azvpn1
  address 52.175.253.112
  pre-shared-key secret*1234
 !
!
crypto ikev2 keyring key-peer2
 peer azvpn2
  address 52.175.250.191
  pre-shared-key secret*1234
 !
!
!
crypto ikev2 profile az-PROFILE1
 match address local interface GigabitEthernet1
 match identity remote address 52.175.253.112 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer1
!
crypto ikev2 profile az-PROFILE2
 match address local interface GigabitEthernet1
 match identity remote address 52.175.250.191 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer2
!
crypto ikev2 dpd 10 2 on-demand
!
!
crypto ipsec transform-set az-IPSEC-PROPOSAL-SET esp-aes 256 esp-sha-hmac
 mode tunnel
!
crypto ipsec profile az-VTI1
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE1
!
crypto ipsec profile az-VTI2
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE2
!
!
interface Loopback0
 ip address 172.16.0.3 255.255.255.255
!
interface Tunnel0
 ip address 172.16.0.1 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.253.112
 tunnel protection ipsec profile az-VTI1
!
interface Tunnel1
 ip address 172.16.0.2 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.250.191
 tunnel protection ipsec profile az-VTI2
!
interface GigabitEthernet1
 description External interface
 ip address x.243.229.110 255.255.255.252
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet2
 ip address 10.0.0.1 255.255.255.0
 negotiation auto
 no mop enabled
 no mop sysid
!
router bgp 65010
 bgp router-id interface Loopback0
 bgp log-neighbor-changes
 network 10.0.0.0 mask 255.255.255.0
 network 10.1.10.0 mask 255.255.255.128
 neighbor 10.2.0.228 remote-as 65000
 neighbor 10.2.0.228 ebgp-multihop 5
 neighbor 10.2.0.228 update-source Loopback0
 neighbor 10.2.0.228 soft-reconfiguration inbound
 neighbor 10.2.0.228 filter-list 10 out
 neighbor 10.2.0.229 remote-as 65000	
 neighbor 10.2.0.229 ebgp-multihop 5
 neighbor 10.2.0.229 update-source Loopback0
 neighbor 10.2.0.229 soft-reconfiguration inbound
 maximum-paths eibgp 2
!
ip route 0.0.0.0 0.0.0.0 10.1.10.1
ip route 10.2.0.228 255.255.255.255 Tunnel0
ip route 10.2.0.229 255.255.255.255 Tunnel1
!

5. Konfigurace filtrování zařízení VPN a bran firewall (volitelné)

Nakonfigurujte bránu firewall a filtrování podle vašich požadavků.

6. Testování a ověření tunelu IPsec

Stav tunelů IPsec je možné ověřit v bráně Azure VPN Gateway pomocí příkazů PowerShellu:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object  ConnectionStatus,EgressBytesTransferred,IngressBytesTransferred | fl

Příklad výstupu:

ConnectionStatus        : Connected
EgressBytesTransferred  : 17734660
IngressBytesTransferred : 10538211

Pokud chcete nezávisle zkontrolovat stav tunelů v instancích služby Azure VPN Gateway, použijte následující příklad:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object -ExpandProperty TunnelConnectionStatus

Příklad výstupu:

Tunnel                           : vpn2local1_52.175.250.191
ConnectionStatus                 : Connected
IngressBytesTransferred          : 4877438
EgressBytesTransferred           : 8754071
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:30

Tunnel                           : vpn2local1_52.175.253.112
ConnectionStatus                 : Connected
IngressBytesTransferred          : 5660773
EgressBytesTransferred           : 8980589
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:13

Stav tunelu můžete také zkontrolovat na místním zařízení VPN.

Příklad cisco CSR1000:

show crypto session detail
show crypto ikev2 sa
show crypto ikev2 session detail
show crypto ipsec sa

Příklad výstupu:

csr1#show crypto session detail

Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
R - IKE Auto Reconnect

Interface: Tunnel1
Profile: az-PROFILE2
Uptime: 00:52:46
Session status: UP-ACTIVE
Peer: 52.175.250.191 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.250.191
      Desc: (none)
  Session ID: 3
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.250.191/4500 Active
          Capabilities:DN connid:3 lifetime:23:07:14
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 279 drop 0 life (KB/Sec) 4607976/433
        Outbound: #pkts enc'ed 164 drop 0 life (KB/Sec) 4607992/433

Interface: Tunnel0
Profile: az-PROFILE1
Uptime: 00:52:43
Session status: UP-ACTIVE
Peer: 52.175.253.112 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.253.112
      Desc: (none)
  Session ID: 2
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.253.112/4500 Active
          Capabilities:DN connid:2 lifetime:23:07:17
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 668 drop 0 life (KB/Sec) 4607926/437
        Outbound: #pkts enc'ed 477 drop 0 life (KB/Sec) 4607953/437

Protokol linky v rozhraní VTI (Virtual Tunnel Interface) se nezmění na "up", dokud se nedokončí fáze IKE 2. Následující příkaz ověří přidružení zabezpečení:

csr1#show crypto ikev2 sa

IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
2         10.1.10.50/4500       52.175.253.112/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3277 sec

Tunnel-id Local                 Remote                fvrf/ivrf            Status
3         10.1.10.50/4500       52.175.250.191/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3280 sec

IPv6 Crypto IKEv2  SA

csr1#show crypto ipsec sa | inc encaps|decaps
    #pkts encaps: 177, #pkts encrypt: 177, #pkts digest: 177
    #pkts decaps: 296, #pkts decrypt: 296, #pkts verify: 296
    #pkts encaps: 554, #pkts encrypt: 554, #pkts digest: 554
    #pkts decaps: 746, #pkts decrypt: 746, #pkts verify: 746

Ověření kompletního připojení mezi místní sítí a virtuální sítí Azure

Pokud jsou tunely IPsec v pořádku a statické trasy jsou správně nastavené, měli byste být schopni otestovat IP adresu vzdáleného partnerského vztahu protokolu BGP příkazem ping:

csr1#ping 10.2.0.228
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.228, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/5 ms

#ping 10.2.0.229
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.229, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms

Ověření relací protokolu BGP přes protokol IPsec

Ve službě Azure VPN Gateway ověřte stav partnerského vztahu protokolu BGP:

Get-AzVirtualNetworkGatewayBGPPeerStatus -VirtualNetworkGatewayName vpnGtw -ResourceGroupName SEA-C1-VPN-ER | ft

Příklad výstupu:

  Asn ConnectedDuration LocalAddress MessagesReceived MessagesSent Neighbor    RoutesReceived State    
  --- ----------------- ------------ ---------------- ------------ --------    -------------- -----    
65010 00:57:19.9003584  10.2.0.228               68           72   172.16.0.10              2 Connected
65000                   10.2.0.228                0            0   10.2.0.228               0 Unknown  
65000 07:13:51.0109601  10.2.0.228              507          500   10.2.0.229               6 Connected

Pokud chcete ověřit seznam předpon sítě přijatých prostřednictvím protokolu eBGP z místního koncentrátoru VPN, můžete filtrovat podle atributu Origin:

Get-AzVirtualNetworkGatewayLearnedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG  | Where-Object Origin -eq "EBgp" |ft

V ukázkovém výstupu je ASN 65010 číslo autonomního systému protokolu BGP v místním prostředí VPN.

AsPath LocalAddress Network      NextHop     Origin SourcePeer  Weight
------ ------------ -------      -------     ------ ----------  ------
65010  10.2.0.228   10.1.10.0/25 172.16.0.10 EBgp   172.16.0.10  32768
65010  10.2.0.228   10.0.0.0/24  172.16.0.10 EBgp   172.16.0.10  32768

Zobrazení seznamu inzerovaných tras:

Get-AzVirtualNetworkGatewayAdvertisedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG -Peer 10.2.0.228 | ft

Příklad výstupu:

AsPath LocalAddress Network        NextHop    Origin SourcePeer Weight
------ ------------ -------        -------    ------ ---------- ------
       10.2.0.229   10.2.0.0/24    10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.10/32 10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.5/32  10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.1/32  10.2.0.229 Igp                  0
65010  10.2.0.229   10.1.10.0/25   10.2.0.229 Igp                  0
65010  10.2.0.229   10.0.0.0/24    10.2.0.229 Igp                  0

Příklad pro místní CSR1000 Cisco:

csr1#show ip bgp neighbors 10.2.0.228 routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.2.0.0/24      10.2.0.228                             0 65000 i
 r>   172.16.0.1/32    10.2.0.228                             0 65000 i
 r>   172.16.0.2/32    10.2.0.228                             0 65000 i
 r>   172.16.0.3/32   10.2.0.228                             0 65000 i

Total number of prefixes 4

Seznam sítí inzerovaných z místního cisco CSR1000 do brány Azure VPN gateway můžete uvést pomocí následujícího příkazu:

csr1#show ip bgp neighbors 10.2.0.228 advertised-routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.0.0.0/24      0.0.0.0                  0         32768 i
 *>   10.1.10.0/25     0.0.0.0                  0         32768 i

Total number of prefixes 2

Další kroky