יישום הצפנה באמצעות ExpressRoute

  • 7 דקות

פרוס את Azure Virtual WAN כדי ליצור חיבור VPN של IPsec/IKE מהרשת המקומית שלך ל- Azure באמצעות רשתות עמית פרטיות של מעגל Azure ExpressRoute. שיטה זו יכולה לספק תעבורה מוצפנת בין הרשתות המקומיות לרשתות הווירטואליות של Azure דרך ExpressRoute, מבלי לעבור דרך האינטרנט הציבורי או להשתמש בכתובות IP ציבוריות.

טופולוגיה וניתוב

דיאגרמה המציגה דוגמה של טופולוגיית ניתוב וניתוב של Azure Express.

הדיאגרמה מציגה רשת בתוך הרשת המקומית המחוברת לשער ה- VPN של רכזת Azure באמצעות רשתות עמית פרטיות של ExpressRoute. הקמת הקישוריות היא פשוטה:

  1. יצירת קישוריות של ExpressRoute באמצעות מעגל ExpressRoute וחיבור עמית פרטי.
  2. צור את קישוריות ה- VPN כמתואר בדוגמה.

היבט חשוב של תצורה זו הוא ניתוב בין הרשתות המקומיות לבין Azure בשני נתיבי ExpressRoute ו- VPN.

תעבורה מרשתות מקומיות ל- Azure

עבור תעבורה מרשתות מקומיות ל- Azure, קידומות Azure (כולל הרכזת הווירטואלית וכל הרשתות הווירטואליות המדוברות המחוברות לרכזת) מתפרסמים באמצעות BGP של רשתות עמית פרטיות של ExpressRoute ו- VPN BGP. התוצאה היא שני נתיבי רשת (נתיבים) לכיוון Azure מהרשתות המקומיות:

  • אחד מעל הנתיב המוגן באמצעות IPsec
  • אחד ישירות מעל ExpressRoute ללא הגנת IPsec

כדי להחיל הצפנה על התקשורת, עליך לוודא שעבור הרשת המחוברת ל- VPN בדיאגרמה, נתיבי Azure באמצעות שער VPN מקומי מועדפים על-פני נתיב ExpressRoute הישיר.

תעבורה מ- Azure לרשתות מקומיות

אותה דרישה חלה על התעבורה מ- Azure לרשתות מקומיות. כדי להבטיח שהנתיב IPsec מועדף על-פני נתיב ExpressRoute הישיר (ללא IPsec), יש לך שתי אפשרויות:

פרסם קידומות ספציפיות יותר בהפעלת BGP של VPN עבור הרשת המחוברת ל- VPN. באפשרותך לפרסם טווח גדול יותר הכולל את הרשת המחוברת ל- VPN באמצעות רשתות עמית פרטיות של ExpressRoute, ולאחר מכן טווחים ספציפיים יותר בהפעלת BGP של VPN. לדוגמה, פרסם 10.0.0.0/16 באמצעות ExpressRoute ו- 10.0.1.0/24 באמצעות VPN.

פרסם קידומות לא מיוששות עבור VPN ו- ExpressRoute. אם טווחי הרשת המחוברים ל- VPN אינם מתקבצים מרשתות מחוברות אחרות של ExpressRoute, באפשרותך לפרסם את הקידומות בהפעלות ה- VPN וה- BGP של ExpressRoute בהתאמה. לדוגמה, פרסם 10.0.0.0/24 באמצעות ExpressRoute ו- 10.0.1.0/24 באמצעות VPN.

בשתי דוגמאות אלה, Azure ישלח תעבורה ל- 10.0.1.0/24 דרך חיבור ה- VPN במקום ישירות דרך ExpressRoute ללא הגנת VPN.

לפני שתתחיל

לפני שתתחיל את קביעת התצורה, ודא שאתה עומד בקריטריונים הבאים:

  • אם כבר יש לך רשת וירטואלית שאליה ברצונך להתחבר, ודא שאף אחת מרשתות המשנה של הרשת המקומית שלך לא חופפת אליה. הרשת הווירטואלית שלך אינה דורשת רשת משנה של שער ולא יכולה לכלול שערי רשת וירטואלית. אם אין לך רשת וירטואלית, באפשרותך ליצור רשת באמצעות השלבים המפורטים במאמר זה.
  • השג טווח כתובות IP עבור אזור הרכזת שלך. הרכזת היא רשת וירטואלית, וטווח הכתובות שאתה מציין עבור אזור הרכזת אינו יכול להיות חופף לרשת וירטואלית קיימת שאליה אתה מתחבר. בנוסף, אין לו אפשרות לחפוף לטווחי הכתובות שאתה מתחבר אליהן באופן מקומי. אם אינך מכיר את טווחי כתובות ה- IP הממוקמים בתצורה המקומית של הרשת, תאם עם מישהו שיכול לספק פרטים אלה עבורך.
  • אם אין לך מנוי Azure, צור חשבון ללא תשלום לפני שתתחיל.

1. יצירת WAN ורכזת וירטואליים עם שערים

המשאבים הבאים של Azure והתצורות המקומיות המתאימות חייבים להיכלל לפני שתמשיך:

  • WAN וירטואלי של Azure.
  • רכזת WAN וירטואלית עם ExpressRoute ושער רשת וירטואלית פרטית.

2. יצירת אתר עבור הרשת המקומית

משאב האתר זהה לאתרי VPN שאינם ExpressRoute עבור WAN וירטואלי. כתובת ה- IP של מכשיר ה- VPN המקומי יכולה כעת להיות כתובת IP פרטית, או כתובת IP ציבורית ברשת המקומית שאליה ניתן להגיע דרך תצורת עמית-לעמית פרטית של ExpressRoute שנוצרה בעבר.

  1. עבור אל אתר האינטרנטWAN , VPN וצור אתר עבור הרשת המקומית שלך. זכור את ערכי ההגדרות הבאים:

    • פרוטוקול שער גבול: בחר 'הפוך לזמין' אם הרשת המקומית שלך משתמשת ב- BGP.
    • שטח כתובת פרטית: הזן את שטח כתובות ה- IP הממוקם באתר המקומי שלך. התעבורה המיועדת עבור שטח כתובות זה מנותב לרשת המקומית דרך שער ה- VPN.

  2. בחר קישורים כדי להוסיף מידע אודות הקישורים הפיזיים. זכור את פרטי ההגדרות הבאים:

    • שם ספק: השם של ספק שירותי האינטרנט עבור אתר זה. עבור רשת מקומית של ExpressRoute, זהו השם של ספק השירות של ExpressRoute.
    • מהירות: מהירות הקישור לשירות האינטרנט או מעגל ExpressRoute.
    • כתובת IP: כתובת ה- IP הציבורית של מכשיר ה- VPN התמצא באתר המקומי שלך. לחלופין, עבור ExpressRoute מקומי, זו כתובת ה- IP הפרטית של התקן ה- VPN דרך ExpressRoute.
    • אם BGP זמין, הוא חל על כל החיבורים שנוצרו עבור אתר זה ב- Azure. קביעת התצורה של BGP ב- WAN וירטואלי שקולה לקביעת התצורה של BGP בשער VPN של Azure.
    • כתובת העמית המקומית של BGP לא להיות זהה לכתובת ה- IP של ה- VPN שלך למכשיר או שטח הכתובות ברשת הווירטואלית של אתר ה- VPN. השתמש בכתובת IP אחרת במכשיר ה- VPN עבור כתובת ה- IP העמית של BGP. היא יכולה להיות כתובת שהוקצתה לממשק הלולאה החוזר במכשיר. עם זאת, יכול להיות APIPA (169.254.x.x). ציין כתובת זו באתר ה- VPN המתאים המייצג את המיקום.

  3. בחר הבא: סקירה + יצירת כדי לבדוק את ערכי ההגדרה וליצור את אתר ה- VPN ולאחר מכן צור לאתר.

  4. לאחר מכן, חבר את האתר לרכזת. עדכון השער עשוי להימשך עד 30 דקות.

3. עדכן את הגדרת חיבור ה- VPN לשימוש ב- ExpressRoute

לאחר שתיצור את אתר ה- VPN ותתחבר לרכזת, בצע את השלבים הבאים כדי לקבוע את תצורת החיבור לשימוש ב- Peering פרטי של ExpressRoute:

  1. עבור אל הרכזת הווירטואלית. באפשרותך לעשות זאת על-ידי מעבר אל Virtual WAN ובחירה במרכז כדי לפתוח את דף הרכזת, או לעבור אל הרכזת הווירטואלית המחוברת מאתר ה- VPN.

  2. תחת קישוריות, בחר VPN (אתר לאתר).

  3. בחר את שלוש הנקודות (...) או לחץ באמצעות לחצן העכבר הימני על אתר ה- VPN באמצעות ExpressRoute ובחר ערוך חיבור VPN לרכזת.

  4. בדף היסודות, השאר את ברירות המחדל.

  5. בדף קישור 1, את ההגדרות הבאות:

    • לקבלת השתמש בכתובת IP של Azure Private, בחר כן. ההגדרה מגדירה את שער ה- VPN של הרכזת לשימוש בכתובות IP פרטיות בטווח הכתובות של הרכזת בשער עבור חיבור זה, במקום בכתובות ה- IP הציבוריות. פעולה זו מבטיחה שהתעבורה מהרשת המקומית תעבור בנתיבי רשתות עמית פרטיות של ExpressRoute במקום להשתמש באינטרנט הציבורי עבור חיבור VPN זה.

  6. לחץ צור כדי לעדכן את ההגדרות. לאחר יצירת ההגדרות, שער ה- VPN של הרכזת ישתמש בכתובות ה- IP הפרטיות בשער ה- VPN כדי ליצור את חיבורי IPsec/IKE עם התקן ה- VPN המקומי דרך ExpressRoute.

4. קבל את כתובות ה- IP הפרטיות עבור שער ה- VPN של הרכזת

הורד את תצורת התקן ה- VPN כדי לקבל את כתובות ה- IP הפרטיות של שער ה- VPN של הרכזת. דרושות לך כתובות אלה כדי לקבוע את התצורה של התקן ה- VPN המקומי.

  1. בדף של הרכזת שלך, בחר VPN (אתר לאתר) תחת קישוריות.
  2. בחלק העליון של הדף מבט כולל , בחר תצורת VPN. Azure יוצר חשבון אחסון בקבוצת המשאבים "microsoft-network-[location]", מיקום הוא המיקום של ה- WAN. לאחר החלת התצורה על התקני ה- VPN שלך, תוכל למחוק חשבון אחסון זה.
  3. לאחר יצירת הקובץ, בחר את הקישור כדי להוריד אותו.
  4. החל את התצורה על מכשיר ה- VPN שלך.

קובץ תצורה של מכשיר VPN

קובץ התצורה של המכשיר מכיל את ההגדרות לשימוש בעת קביעת התצורה של התקן ה- VPN המקומי שלך. בעת הצגת קובץ זה, שים לב למידע הבא:

  • vpnSiteConfiguration: סעיף זה מציין את הגדרת פרטי המכשיר כאתר ההתחברות ל- WAN הווירטואלי. הוא כולל את השם וכתובת ה- IP הציבורית של מכשיר הענף.

  • vpnSiteConnections: סעיף זה מספק מידע אודות ההגדרות הבאות:

    • שטח הכתובות של הרשת הווירטואלית של הרכזת הווירטואלית.
      דוגמה"AddressSpace":"10.51.230.0/24"
    • שטח הכתובות של הרשתות הווירטואליות המחוברות לרכזת.
      דוגמה"ConnectedSubnets":["10.51.231.0/24"]
    • כתובות IP של שער ה- VPN של הרכזת הווירטואלית. מאחר שכל חיבור של שער ה- VPN מורכב משתי מנהרות בתצורה פעילה, תראה את שתי כתובות ה- IP המפורטות בקובץ זה. בדוגמה זו, תראה Instance0 ו- Instance1 עבור כל אתר, והן כתובות IP פרטיות במקום כתובות IP ציבוריות.
      דוגמה"Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • פרטי תצורה עבור חיבור שער ה- VPN, כגון BGP ומפתח משותף מראש. המפתח המשותף מראש נוצר עבורך באופן אוטומטי. תמיד תוכל לערוך את החיבור בדף 'מבט כולל ' עבור מפתח משותף מראש מותאם אישית.

קביעת התצורה של מכשיר ה- VPN שלך

אם אתה זקוק להוראות כדי לקבוע את תצורת המכשיר שלך, באפשרותך להשתמש בהוראות בדף קבצי Script של תצורת מכשיר VPN עם ההתראות הבאות:

  • ההוראות בדף מכשיר ה- VPN אינן נכתבות עבור WAN וירטואלי. עם זאת, באפשרותך להשתמש בערךי ה- WAN הווירטואליים מקובץ התצורה כדי לקבוע את תצורת התקן ה- VPN שלך באופן ידני.
  • קבצי ה- Script של תצורת המכשיר הניתנים להורדה עבור שער ה- VPN אינם פועלים עבור ה- WAN הווירטואלי, מכיוון שהתצורה שונה.
  • WAN וירטואלי חדש יכול לתמוך הן ב- IKEv1 והן ב- IKEv2.
  • WAN וירטואלי יכול להשתמש רק בהתקני VPN מבוססי-ניתוב ובהוראות מכשיר.

5. הצג את ה- WAN הווירטואלי שלך

  1. עבור אל ה- WAN הווירטואלי.
  2. בדף מבט, כל נקודה במפה מייצגת רכזת.
  3. במקטע רכזת וחיבורים, להציג רכזת, אתר, אזור ומצב חיבור VPN. באפשרותך גם להציג בתים בתוך ויציאה.

6. ניטור חיבור

צור חיבור כדי לנטר תקשורת בין מחשב וירטואלי (VM) של Azure לבין אתר מרוחק.