Konfigurace sítě VPN typu site-to-site přes partnerský vztah Microsoftu ExpressRoute

Tento článek vám pomůže nakonfigurovat zabezpečené šifrované připojení mezi vaší místní sítí a virtuálními sítěmi Azure přes privátní připojení ExpressRoute. Partnerský vztah Microsoftu můžete použít k vytvoření tunelu VPN typu site-to-site IPsec/IKE mezi vybranými místními sítěmi a virtuálními sítěmi Azure. Konfigurace zabezpečeného tunelu přes ExpressRoute umožňuje výměnu dat s důvěrností, antiplay, pravostí a integritou.

Poznámka

Když nastavíte síť VPN typu site-to-site přes partnerský vztah Microsoftu, budou se vám účtovat poplatky za bránu VPN a výchozí přenos dat VPN. Další informace najdete v tématu VPN Gateway cen.

Kroky a příklady v tomto článku používají moduly Azure PowerShell Az. Pokud chcete moduly Az nainstalovat místně do počítače, přečtěte si téma Instalace Azure PowerShell. Další informace o novém modulu Az najdete v tématu Představení nového modulu Azure PowerShell Az. Rutiny PowerShellu se často aktualizují. Pokud nepoužíváte nejnovější verzi, můžou selhat hodnoty zadané v pokynech. Pokud chcete najít nainstalované verze PowerShellu ve vašem systému, použijte tuto rutinu Get-Module -ListAvailable Az .

Architektura

connectivity overview

Pro zajištění vysoké dostupnosti a redundance můžete nakonfigurovat více tunelů přes dva páry MSEE-PE okruhu ExpressRoute a povolit vyrovnávání zatížení mezi tunely.

high availability options

Tunely VPN přes partnerský vztah Microsoftu je možné ukončit buď pomocí brány VPN, nebo pomocí příslušného síťového virtuálního zařízení dostupného prostřednictvím Azure Marketplace. Trasy můžete vyměňovat staticky nebo dynamicky přes šifrované tunely bez zveřejnění výměny tras podkladovému partnerskému vztahu Microsoftu. Vpříkladch

Důležité

U místní strany se obvykle partnerský vztah Microsoftu ukončí v dmZ a privátní partnerský vztah se ukončí v základní zóně sítě. Dvě zóny by se oddělily pomocí bran firewall. Pokud konfigurujete partnerský vztah Microsoftu výhradně pro povolení zabezpečeného tunelování přes ExpressRoute, nezapomeňte filtrovat jenom veřejné IP adresy, které se inzerují prostřednictvím partnerského vztahu Microsoftu.

Pracovní postup

  1. Nakonfigurujte partnerský vztah Microsoftu pro váš okruh ExpressRoute.
  2. Inzerujte vybrané veřejné předpony Azure pro místní síť prostřednictvím partnerského vztahu Microsoftu.
  3. Konfigurace brány VPN a vytvoření tunelů IPsec
  4. Nakonfigurujte místní zařízení VPN.
  5. Vytvořte připojení site-to-site IPsec/IKE.
  6. (Volitelné) Nakonfigurujte brány firewall nebo filtrování na místním zařízení VPN.
  7. Otestujte a ověřte komunikaci protokolu IPsec přes okruh ExpressRoute.

1. Konfigurace partnerského vztahu Microsoftu

Pokud chcete nakonfigurovat připojení VPN typu site-to-site přes ExpressRoute, musíte využít partnerský vztah ExpressRoute Microsoftu.

Jakmile nakonfigurujete okruh a partnerský vztah Microsoftu, můžete ho snadno zobrazit na stránce Přehled v Azure Portal.

circuit

2. Konfigurace filtrů tras

Filtr tras umožňuje identifikovat služby, které chcete využívat prostřednictvím partnerského vztahu Microsoftu s vaším okruhem ExpressRoute. Je to v podstatě seznam povolených všech hodnot komunitY protokolu BGP.

route filter

V tomto příkladu je nasazení pouze v oblasti Azure USA – západ 2 . Přidá se pravidlo filtru tras, které povolí pouze inzerování předpon oblastí Azure USA – západ 2, které má hodnotu komunity protokolu BGP 12076:51026. Oblastní předpony, které chcete povolit, zadáte výběrem možnosti Spravovat pravidlo.

V rámci filtru tras musíte také zvolit okruhy ExpressRoute, pro které se filtr tras vztahuje. Okruhy ExpressRoute můžete zvolit výběrem možnosti Přidat okruh. Na předchozím obrázku je filtr trasy přidružený k ukázku okruhu ExpressRoute.

2.1 Konfigurace filtru tras

Nakonfigurujte filtr tras. Postup najdete v tématu Konfigurace filtrů tras pro partnerský vztah Microsoftu.

2.2 Ověření tras protokolu BGP

Po úspěšném vytvoření partnerského vztahu Microsoftu přes okruh ExpressRoute a přidružení filtru tras k okruhu můžete ověřit trasy protokolu BGP přijaté z prostředí MSEEs na zařízeních PE, která jsou v partnerském vztahu s msEEs. Ověřovací příkaz se liší v závislosti na operačním systému vašich zařízení PE.

Příklady Cisco

Tento příklad používá příkaz Cisco IOS-XE. V tomto příkladu se k izolaci provozu partnerského vztahu používá virtuální instance směrování a předávání (VRF).

show ip bgp vpnv4 vrf 10 summary

Následující částečný výstup ukazuje, že ze souseda *.243.229.34 bylo přijato 68 předpon s ASN 12076 (MSEE):

...

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
X.243.229.34    4        12076   17671   17650    25228    0    0 1w4d           68

Pokud chcete zobrazit seznam předpon přijatých od souseda, použijte následující příklad:

sh ip bgp vpnv4 vrf 10 neighbors X.243.229.34 received-routes

Pokud chcete ověřit, že dostáváte správnou sadu předpon, můžete křížově ověřit. Následující Azure PowerShell výstup příkazu uvádí předpony inzerované prostřednictvím partnerského vztahu Microsoftu pro každou z těchto služeb a pro každou oblast Azure:

Get-AzBgpServiceCommunity

3. Konfigurace brány VPN a tunelů IPsec

V této části se tunely VPN IPsec vytvoří mezi bránou Azure VPN a místním zařízením VPN. Příklady používají zařízení VPN Cisco Cloud Service Router (CSR1000).

Následující diagram znázorňuje tunely VPN protokolu IPsec vytvořené mezi místním zařízením VPN 1 a párem instancí služby Azure VPN Gateway. Dva tunely IPsec VPN vytvořené mezi místním zařízením VPN 2 a párem instance služby Azure VPN Gateway nejsou znázorněné v diagramu a podrobnosti o konfiguraci nejsou uvedené. Pokud ale máte další tunely VPN, zvyšuje se vysoká dostupnost.

VPN tunnels

Při páru tunelu IPsec se vytvoří relace protokolu eBGP pro výměnu tras privátní sítě. Následující diagram znázorňuje relaci protokolu eBGP vytvořenou přes dvojici tunelu IPsec:

eBGP sessions over tunnel pair

Následující diagram znázorňuje abstrahovaný přehled ukázkové sítě:

example network

Příklady šablon Azure Resource Manager

V příkladech se brána VPN a ukončení tunelu IPsec konfigurují pomocí šablony Azure Resource Manager. Pokud s používáním šablon Resource Manager začínáte nebo rozumíte základům šablon Resource Manager, přečtěte si téma Principy struktury a syntaxe šablon Azure Resource Manager. Šablona v této části vytvoří zelené pole prostředí Azure (VNet). Pokud ale máte existující virtuální síť, můžete na ni odkazovat v šabloně. Pokud neznáte konfigurace site-to-site brány VPN Gateway IPsec/IKE, přečtěte si téma Vytvoření připojení typu site-to-site.

Poznámka

K vytvoření této konfigurace nemusíte používat šablony Azure Resource Manager. Tuto konfiguraci můžete vytvořit pomocí Azure Portal nebo PowerShellu.

3.1 Deklarujte proměnné

V tomto příkladu deklarace proměnných odpovídají ukázkové síti. Při deklarování proměnných upravte tuto část tak, aby odrážela vaše prostředí.

  • Proměnná localAddressPrefix je pole místních IP adres pro ukončení tunelů IPsec.
  • BránaSku určuje propustnost sítě VPN. Další informace o bráně GatewaySku a vpnType najdete v tématu VPN Gateway nastavení konfigurace. Ceny najdete v VPN Gateway cenách.
  • Nastavte typ vpnType na RouteBased.
"variables": {
  "virtualNetworkName": "SecureVNet",       // Name of the Azure VNet
  "azureVNetAddressPrefix": "10.2.0.0/24",  // Address space assigned to the VNet
  "subnetName": "Tenant",                   // subnet name in which tenants exists
  "subnetPrefix": "10.2.0.0/25",            // address space of the tenant subnet
  "gatewaySubnetPrefix": "10.2.0.224/27",   // address space of the gateway subnet
  "localGatewayName": "localGW1",           // name of remote gateway (on-premises)
  "localGatewayIpAddress": "X.243.229.110", // public IP address of the on-premises VPN device
  "localAddressPrefix": [
    "172.16.0.1/32",                        // termination of IPsec tunnel-1 on-premises 
    "172.16.0.2/32"                         // termination of IPsec tunnel-2 on-premises 
  ],
  "gatewayPublicIPName1": "vpnGwVIP1",    // Public address name of the first VPN gateway instance
  "gatewayPublicIPName2": "vpnGwVIP2",    // Public address name of the second VPN gateway instance 
  "gatewayName": "vpnGw",                 // Name of the Azure VPN gateway
  "gatewaySku": "VpnGw1",                 // Azure VPN gateway SKU
  "vpnType": "RouteBased",                // type of VPN gateway
  "sharedKey": "string",                  // shared secret needs to match with on-premises configuration
  "asnVpnGateway": 65000,                 // BGP Autonomous System number assigned to the VPN Gateway 
  "asnRemote": 65010,                     // BGP Autonmous Syste number assigned to the on-premises device
  "bgpPeeringAddress": "172.16.0.3",      // IP address of the remote BGP peer on-premises
  "connectionName": "vpn2local1",
  "vnetID": "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]",
  "gatewaySubnetRef": "[concat(variables('vnetID'),'/subnets/','GatewaySubnet')]",
  "subnetRef": "[concat(variables('vnetID'),'/subnets/',variables('subnetName'))]",
  "api-version": "2017-06-01"
},

3.2 Vytvoření virtuální sítě (VNet)

Pokud přidružujete existující virtuální síť k tunelům VPN, můžete tento krok přeskočit.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/virtualNetworks",
  "name": "[variables('virtualNetworkName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "addressSpace": {
      "addressPrefixes": [
        "[variables('azureVNetAddressPrefix')]"
      ]
    },
    "subnets": [
      {
        "name": "[variables('subnetName')]",
        "properties": {
          "addressPrefix": "[variables('subnetPrefix')]"
        }
      },
      {
        "name": "GatewaySubnet",
        "properties": {
          "addressPrefix": "[variables('gatewaySubnetPrefix')]"
        }
      }
    ]
  },
  "comments": "Create a Virtual Network with Subnet1 and Gatewaysubnet"
},

3.3 Přiřazení veřejných IP adres instancím brány VPN

Přiřaďte veřejnou IP adresu pro každou instanci brány VPN.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName1')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the first instance of the VPN gateway"
  },
  {
    "apiVersion": "[variables('api-version')]",
    "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName2')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the second instance of the VPN gateway"
  },

3.4 Určení ukončení místního tunelu VPN (brána místní sítě)

Místní zařízení VPN se označují jako brána místní sítě. Následující fragment kódu JSON také určuje podrobnosti o vzdáleném partnerském vztahu protokolu BGP:

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/localNetworkGateways",
  "name": "[variables('localGatewayName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "localNetworkAddressSpace": {
      "addressPrefixes": "[variables('localAddressPrefix')]"
    },
    "gatewayIpAddress": "[variables('localGatewayIpAddress')]",
    "bgpSettings": {
      "asn": "[variables('asnRemote')]",
      "bgpPeeringAddress": "[variables('bgpPeeringAddress')]",
      "peerWeight": 0
    }
  },
  "comments": "Local Network Gateway (referred to your on-premises location) with IP address of remote tunnel peering and IP address of remote BGP peer"
},

3.5 Vytvoření brány VPN

Tato část šablony nakonfiguruje bránu VPN s požadovanými nastaveními pro konfiguraci aktivní-aktivní. Mějte na paměti následující požadavky:

  • Vytvořte bránu VPN s typem VpnType RouteBased . Toto nastavení je povinné, pokud chcete povolit směrování protokolu BGP mezi bránou VPN a místní sítí VPN.
  • Pokud chcete vytvořit tunely VPN mezi dvěma instancemi brány VPN a daným místním zařízením v režimu aktivní-aktivní, je parametr "activeActive" nastavený na hodnotu true v šabloně Resource Manager. Další informace o vysoce dostupných branách VPN najdete v tématu Připojení brány VPN s vysokou dostupností.
  • Pokud chcete nakonfigurovat relace protokolu eBGP mezi tunely VPN, musíte na obou stranách zadat dvě různé sítě ASN. Je vhodnější zadat privátní čísla ASN. Další informace najdete v tématu Přehled bran BGP a Azure VPN Gateway.
{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/virtualNetworkGateways",
"name": "[variables('gatewayName')]",
"location": "[resourceGroup().location]",
"dependsOn": [
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName1'))]",
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName2'))]",
  "[concat('Microsoft.Network/virtualNetworks/', variables('virtualNetworkName'))]"
],
"properties": {
  "ipConfigurations": [
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName1'))]"
        }
      },
      "name": "vnetGtwConfig1"
    },
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName2'))]"
        }
      },
          "name": "vnetGtwConfig2"
        }
      ],
      "sku": {
        "name": "[variables('gatewaySku')]",
        "tier": "[variables('gatewaySku')]"
      },
      "gatewayType": "Vpn",
      "vpnType": "[variables('vpnType')]",
      "enableBgp": true,
      "activeActive": true,
      "bgpSettings": {
        "asn": "[variables('asnVpnGateway')]"
      }
    },
    "comments": "VPN Gateway in active-active configuration with BGP support"
  },

3.6 Vytvoření tunelů IPsec

Konečná akce skriptu vytvoří tunely IPsec mezi bránou Azure VPN Gateway a místním zařízením VPN.

{
  "apiVersion": "[variables('api-version')]",
  "name": "[variables('connectionName')]",
  "type": "Microsoft.Network/connections",
  "location": "[resourceGroup().location]",
  "dependsOn": [
    "[concat('Microsoft.Network/virtualNetworkGateways/', variables('gatewayName'))]",
    "[concat('Microsoft.Network/localNetworkGateways/', variables('localGatewayName'))]"
  ],
  "properties": {
    "virtualNetworkGateway1": {
      "id": "[resourceId('Microsoft.Network/virtualNetworkGateways', variables('gatewayName'))]"
    },
    "localNetworkGateway2": {
      "id": "[resourceId('Microsoft.Network/localNetworkGateways', variables('localGatewayName'))]"
    },
    "connectionType": "IPsec",
    "routingWeight": 0,
    "sharedKey": "[variables('sharedKey')]",
    "enableBGP": "true"
  },
  "comments": "Create a Connection type site-to-site (IPsec) between the Azure VPN Gateway and the VPN device on-premises"
  }

4. Konfigurace místního zařízení VPN

Brána Azure VPN je kompatibilní s mnoha zařízeními VPN od různých dodavatelů. Informace o konfiguraci a zařízení, která byla ověřena pro práci s bránou VPN, najdete v tématu Informace o zařízeních VPN.

Při konfiguraci zařízení VPN potřebujete následující položky:

  • Sdílený klíč. Jedná se o stejný sdílený klíč, který zadáte při vytváření připojení VPN typu site-to-site. Příklady používají základní sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
  • Veřejná IP adresa vaší brány VPN. Veřejnou IP adresu můžete zobrazit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku. Pokud chcete zjistit veřejnou IP adresu brány VPN pomocí webu Azure Portal, přejděte na Brány virtuální sítě a klikněte na název brány.

Partnerské vztahy eBGP jsou obvykle přímo připojené (často přes připojení WAN). Pokud ale konfigurujete eBGP přes tunely VPN protokolu IPsec prostřednictvím partnerského vztahu ExpressRoute Microsoftu, existuje mezi partnerskými vztahy eBGP několik domén směrování. Pomocí příkazu ebgp-multihop vytvořte vztah souseda eBGP mezi těmito dvěma nesměrovými partnerskými vztahy přímo připojenými. Celé číslo, které následuje po příkazu ebgp-multihop, určuje hodnotu TTL v paketech protokolu BGP. Příkaz maximum-paths eibgp 2 umožňuje vyrovnávání zatížení provozu mezi těmito dvěma cestami protokolu BGP.

Příklad Cisco CSR1000

Následující příklad ukazuje konfiguraci cisco CSR1000 ve virtuálním počítači Hyper-V jako místní zařízení VPN:

!
crypto ikev2 proposal az-PROPOSAL
 encryption aes-cbc-256 aes-cbc-128 3des
 integrity sha1
 group 2
!
crypto ikev2 policy az-POLICY
 proposal az-PROPOSAL
!
crypto ikev2 keyring key-peer1
 peer azvpn1
  address 52.175.253.112
  pre-shared-key secret*1234
 !
!
crypto ikev2 keyring key-peer2
 peer azvpn2
  address 52.175.250.191
  pre-shared-key secret*1234
 !
!
!
crypto ikev2 profile az-PROFILE1
 match address local interface GigabitEthernet1
 match identity remote address 52.175.253.112 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer1
!
crypto ikev2 profile az-PROFILE2
 match address local interface GigabitEthernet1
 match identity remote address 52.175.250.191 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer2
!
crypto ikev2 dpd 10 2 on-demand
!
!
crypto ipsec transform-set az-IPSEC-PROPOSAL-SET esp-aes 256 esp-sha-hmac
 mode tunnel
!
crypto ipsec profile az-VTI1
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE1
!
crypto ipsec profile az-VTI2
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE2
!
!
interface Loopback0
 ip address 172.16.0.3 255.255.255.255
!
interface Tunnel0
 ip address 172.16.0.1 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.253.112
 tunnel protection ipsec profile az-VTI1
!
interface Tunnel1
 ip address 172.16.0.2 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.250.191
 tunnel protection ipsec profile az-VTI2
!
interface GigabitEthernet1
 description External interface
 ip address x.243.229.110 255.255.255.252
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet2
 ip address 10.0.0.1 255.255.255.0
 negotiation auto
 no mop enabled
 no mop sysid
!
router bgp 65010
 bgp router-id interface Loopback0
 bgp log-neighbor-changes
 network 10.0.0.0 mask 255.255.255.0
 network 10.1.10.0 mask 255.255.255.128
 neighbor 10.2.0.228 remote-as 65000
 neighbor 10.2.0.228 ebgp-multihop 5
 neighbor 10.2.0.228 update-source Loopback0
 neighbor 10.2.0.228 soft-reconfiguration inbound
 neighbor 10.2.0.228 filter-list 10 out
 neighbor 10.2.0.229 remote-as 65000	
 neighbor 10.2.0.229 ebgp-multihop 5
 neighbor 10.2.0.229 update-source Loopback0
 neighbor 10.2.0.229 soft-reconfiguration inbound
 maximum-paths eibgp 2
!
ip route 0.0.0.0 0.0.0.0 10.1.10.1
ip route 10.2.0.228 255.255.255.255 Tunnel0
ip route 10.2.0.229 255.255.255.255 Tunnel1
!

5. Konfigurace filtrování zařízení VPN a bran firewall (volitelné)

Nakonfigurujte bránu firewall a filtrování podle vašich požadavků.

6. Otestujte a ověřte tunel IPsec.

Stav tunelů IPsec je možné ověřit na bráně Azure VPN pomocí příkazů PowerShellu:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object  ConnectionStatus,EgressBytesTransferred,IngressBytesTransferred | fl

Příklad výstupu:

ConnectionStatus        : Connected
EgressBytesTransferred  : 17734660
IngressBytesTransferred : 10538211

Pokud chcete zkontrolovat stav tunelů v instancích brány Azure VPN Gateway nezávisle, použijte následující příklad:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object -ExpandProperty TunnelConnectionStatus

Příklad výstupu:

Tunnel                           : vpn2local1_52.175.250.191
ConnectionStatus                 : Connected
IngressBytesTransferred          : 4877438
EgressBytesTransferred           : 8754071
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:30

Tunnel                           : vpn2local1_52.175.253.112
ConnectionStatus                 : Connected
IngressBytesTransferred          : 5660773
EgressBytesTransferred           : 8980589
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:13

Stav tunelu můžete také zkontrolovat na místním zařízení VPN.

Příklad Cisco CSR1000:

show crypto session detail
show crypto ikev2 sa
show crypto ikev2 session detail
show crypto ipsec sa

Příklad výstupu:

csr1#show crypto session detail

Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
R - IKE Auto Reconnect

Interface: Tunnel1
Profile: az-PROFILE2
Uptime: 00:52:46
Session status: UP-ACTIVE
Peer: 52.175.250.191 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.250.191
      Desc: (none)
  Session ID: 3
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.250.191/4500 Active
          Capabilities:DN connid:3 lifetime:23:07:14
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 279 drop 0 life (KB/Sec) 4607976/433
        Outbound: #pkts enc'ed 164 drop 0 life (KB/Sec) 4607992/433

Interface: Tunnel0
Profile: az-PROFILE1
Uptime: 00:52:43
Session status: UP-ACTIVE
Peer: 52.175.253.112 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.253.112
      Desc: (none)
  Session ID: 2
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.253.112/4500 Active
          Capabilities:DN connid:2 lifetime:23:07:17
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 668 drop 0 life (KB/Sec) 4607926/437
        Outbound: #pkts enc'ed 477 drop 0 life (KB/Sec) 4607953/437

Protokol řádku v rozhraní VTI (Virtual Tunnel Interface) se nezmění na "up", dokud se nedokončila fáze IKE 2. Následující příkaz ověří přidružení zabezpečení:

csr1#show crypto ikev2 sa

IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
2         10.1.10.50/4500       52.175.253.112/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3277 sec

Tunnel-id Local                 Remote                fvrf/ivrf            Status
3         10.1.10.50/4500       52.175.250.191/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3280 sec

IPv6 Crypto IKEv2  SA

csr1#show crypto ipsec sa | inc encaps|decaps
    #pkts encaps: 177, #pkts encrypt: 177, #pkts digest: 177
    #pkts decaps: 296, #pkts decrypt: 296, #pkts verify: 296
    #pkts encaps: 554, #pkts encrypt: 554, #pkts digest: 554
    #pkts decaps: 746, #pkts decrypt: 746, #pkts verify: 746

Ověření kompletního připojení mezi uvnitř sítě a virtuální sítí Azure

Pokud jsou tunely IPsec a statické trasy jsou správně nastavené, měli byste být schopni otestovat ip adresu vzdáleného partnerského vztahu protokolu BGP příkazem ping:

csr1#ping 10.2.0.228
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.228, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/5 ms

#ping 10.2.0.229
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.229, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms

Ověření relací protokolu BGP přes protokol IPsec

Ve službě Azure VPN Gateway ověřte stav partnerského vztahu protokolu BGP:

Get-AzVirtualNetworkGatewayBGPPeerStatus -VirtualNetworkGatewayName vpnGtw -ResourceGroupName SEA-C1-VPN-ER | ft

Příklad výstupu:

  Asn ConnectedDuration LocalAddress MessagesReceived MessagesSent Neighbor    RoutesReceived State    
  --- ----------------- ------------ ---------------- ------------ --------    -------------- -----    
65010 00:57:19.9003584  10.2.0.228               68           72   172.16.0.10              2 Connected
65000                   10.2.0.228                0            0   10.2.0.228               0 Unknown  
65000 07:13:51.0109601  10.2.0.228              507          500   10.2.0.229               6 Connected

Pokud chcete ověřit seznam předpon sítě přijatých prostřednictvím protokolu eBGP z místního koncentrátoru VPN, můžete filtrovat podle atributu Origin:

Get-AzVirtualNetworkGatewayLearnedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG  | Where-Object Origin -eq "EBgp" |ft

V ukázkovém výstupu je ASN 65010 číslo autonomního systému protokolu BGP v místní síti VPN.

AsPath LocalAddress Network      NextHop     Origin SourcePeer  Weight
------ ------------ -------      -------     ------ ----------  ------
65010  10.2.0.228   10.1.10.0/25 172.16.0.10 EBgp   172.16.0.10  32768
65010  10.2.0.228   10.0.0.0/24  172.16.0.10 EBgp   172.16.0.10  32768

Zobrazení seznamu inzerovaných tras:

Get-AzVirtualNetworkGatewayAdvertisedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG -Peer 10.2.0.228 | ft

Příklad výstupu:

AsPath LocalAddress Network        NextHop    Origin SourcePeer Weight
------ ------------ -------        -------    ------ ---------- ------
       10.2.0.229   10.2.0.0/24    10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.10/32 10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.5/32  10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.1/32  10.2.0.229 Igp                  0
65010  10.2.0.229   10.1.10.0/25   10.2.0.229 Igp                  0
65010  10.2.0.229   10.0.0.0/24    10.2.0.229 Igp                  0

Příklad pro místní Cisco CSR1000:

csr1#show ip bgp neighbors 10.2.0.228 routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.2.0.0/24      10.2.0.228                             0 65000 i
 r>   172.16.0.1/32    10.2.0.228                             0 65000 i
 r>   172.16.0.2/32    10.2.0.228                             0 65000 i
 r>   172.16.0.3/32   10.2.0.228                             0 65000 i

Total number of prefixes 4

Seznam sítí inzerovaných z místního cisco CSR1000 do brány Azure VPN je možné uvést pomocí následujícího příkazu:

csr1#show ip bgp neighbors 10.2.0.228 advertised-routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.0.0.0/24      0.0.0.0                  0         32768 i
 *>   10.1.10.0/25     0.0.0.0                  0         32768 i

Total number of prefixes 2

Další kroky