Megosztás a következőn keresztül:

ExpressRoute-titkosítás: IPsec az ExpressRoute-on keresztül a Virtual WAN

  • Cikk

Ez a cikk bemutatja, hogyan hozhat létre IPsec/IKE VPN-kapcsolatot a helyszíni hálózatról az Azure-ba egy Azure ExpressRoute-kapcsolatcsoport privát társviszony-létesítése során az Azure Virtual WAN használatával. Ez a technika titkosított átvitelt biztosít a helyszíni hálózatok és az Azure-beli virtuális hálózatok között az ExpressRoute-on keresztül anélkül, hogy a nyilvános interneten vagy nyilvános IP-címeken keresztül lépkednél.

Topológia és útválasztás

Az alábbi ábrán egy példa látható az ExpressRoute-beli privát társviszony-létesítés vpn-kapcsolatára:

A VPN ExpressRoute-on keresztüli diagramja.

Az ábrán egy, az Azure Hub VPN-átjáróhoz expressRoute-beli privát társviszony-létesítésen keresztül csatlakoztatott helyszíni hálózaton belüli hálózat látható. A kapcsolat létrehozása egyszerű:

  1. ExpressRoute-kapcsolat létesítése ExpressRoute-kapcsolatcsoporttal és privát társviszony-létesítéssel.
  2. Hozza létre a VPN-kapcsolatot az ebben a cikkben leírtak szerint.

Ennek a konfigurációnak egy fontos eleme a helyszíni hálózatok és az Azure közötti útválasztás az ExpressRoute- és VPN-útvonalakon keresztül.

Forgalom a helyszíni hálózatokról az Azure-ba

A helyszíni hálózatokról az Azure-ba irányuló forgalom esetén az Azure-előtagok (beleértve a virtuális központot és a központhoz csatlakoztatott összes küllős virtuális hálózatot) az ExpressRoute privát társviszony-létesítési BGP-n és a VPN BGP-n keresztül is meghirdetve lesznek. Ez két hálózati útvonalat (elérési utat) eredményez az Azure felé a helyszíni hálózatokról:

  • Egy az IPsec által védett útvonalon
  • Közvetlenül az ExpressRoute-on keresztül IPsec-védelem nélkül

Ha titkosítást szeretne alkalmazni a kommunikációra, győződjön meg arról, hogy a diagram VPN-hez csatlakoztatott hálózata esetében a helyszíni VPN-átjárón keresztüli Azure-útvonalak előnyben részesítettek a közvetlen ExpressRoute-útvonalon.

Forgalom az Azure-ból a helyszíni hálózatokba

Ugyanez a követelmény vonatkozik az Azure-ból a helyszíni hálózatokra érkező forgalomra is. Annak érdekében, hogy az IPsec-elérési út előnyben legyen részesítve a közvetlen ExpressRoute-útvonalon (IPsec nélkül), két lehetőség közül választhat:

  • A VPN-hez csatlakoztatott hálózat VPN BGP-munkamenetében konkrétabb előtagokat hirdethet meg. Meghirdethet egy nagyobb tartományt, amely magában foglalja a VPN-hez csatlakoztatott hálózatot expressRoute-alapú privát társviszony-létesítésen keresztül, majd a VPN BGP-munkamenet konkrétabb tartományait. Meghirdetheti például a 10.0.0.0/16-ot az ExpressRoute-on, a 10.0.1.0/24-et PEDIG VPN-en keresztül.

  • A VPN és az ExpressRoute különálló előtagjainak meghirdetése. Ha a VPN-hez csatlakoztatott hálózati tartományok nem egyeznek meg más ExpressRoute-hálózatokkal, meghirdetheti az előtagokat a VPN- és az ExpressRoute BGP-munkamenetekben. Meghirdetheti például a 10.0.0.0/24-et az ExpressRoute-on, a 10.0.1.0/24-et PEDIG VPN-en keresztül.

Mindkét példában az Azure a 10.0.1.0/24-be küldi a forgalmat a VPN-kapcsolaton keresztül, nem pedig közvetlenül az ExpressRoute-on keresztül VPN-védelem nélkül.

Figyelmeztetés

Ha ugyanazokat az előtagokat hirdeti az ExpressRoute- és VPN-kapcsolatokon, az Azure közvetlenül VPN-védelem nélkül fogja használni az ExpressRoute-útvonalat.

Előkészületek

A konfiguráció megkezdése előtt ellenőrizze, hogy megfelel-e a következő feltételeknek:

  • Ha már rendelkezik olyan virtuális hálózattal, amelyhez csatlakozni szeretne, ellenőrizze, hogy a helyszíni hálózat egyik alhálózata sincs-e átfedésben vele. A virtuális hálózathoz nincs szükség átjáróalhálózatra, és nem rendelkezhet virtuális hálózati átjárókkal. Ha nem rendelkezik virtuális hálózattal, a jelen cikk lépéseit követve létrehozhat egyet.
  • Igényeljen egy IP-címtartományt az elosztó régiójában. A központ egy virtuális hálózat, és a központi régióhoz megadott címtartomány nem fedhet át egy meglévő virtuális hálózattal, amelyhez csatlakozik. Nem lehet átfedésben a helyszíni címtartományokkal. Ha nem ismeri a helyszíni hálózati konfigurációban található IP-címtartományokat, koordináljon valakivel, aki meg tudja adni önnek ezeket a részleteket.
  • Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

1. Virtuális WAN és központ létrehozása átjárókkal

A folytatás előtt a következő Azure-erőforrásoknak és a megfelelő helyszíni konfigurációknak kell lenniük:

Az Azure-beli virtuális WAN és egy ExpressRoute-társítással rendelkező központ létrehozásának lépéseiért lásd: ExpressRoute-társítás létrehozása az Azure Virtual WAN használatával. A VPN-átjáró virtuális WAN-ban való létrehozásának lépéseit lásd: Helyek közötti kapcsolat létrehozása az Azure Virtual WAN használatával.

2. Hely létrehozása a helyszíni hálózathoz

A helyerőforrás megegyezik a virtuális WAN nem ExpressRoute VPN-helyeivel. A helyszíni VPN-eszköz IP-címe mostantól lehet privát IP-cím, vagy a helyszíni hálózat nyilvános IP-címe, amely az 1. lépésben létrehozott ExpressRoute privát társviszony-létesítésen keresztül érhető el.

Megjegyzés

A helyszíni VPN-eszköz IP-címének az Azure ExpressRoute privát társviszony-létesítésen keresztül a virtuális WAN-központban meghirdetett címelőtagok részét kell képeznie.

  1. Nyissa meg a YourVirtualWAN > VPN-webhelyeket , és hozzon létre egy helyet a helyszíni hálózat számára. Az alapvető lépésekért lásd: Webhely létrehozása. Tartsa szem előtt a következő beállítások értékeit:

    • Border Gateway Protocol: Válassza az "Engedélyezés" lehetőséget, ha a helyszíni hálózat BGP-t használ.
    • Privát címtér: Adja meg a helyszíni helyen található IP-címteret. Az ehhez a címtérhez rendelt forgalmat a rendszer a VPN-átjárón keresztül irányítja a helyszíni hálózatra.

  2. Válassza a Hivatkozások lehetőséget a fizikai hivatkozásokkal kapcsolatos információk hozzáadásához. Tartsa szem előtt a következő beállításokra vonatkozó információkat:

    • Szolgáltató neve: A webhely internetszolgáltatójának neve. A helyszíni ExpressRoute-hálózatok esetében ez az ExpressRoute-szolgáltató neve.

    • Sebesség: Az internetszolgáltatás-kapcsolat vagy az ExpressRoute-kapcsolatcsoport sebessége.

    • IP-cím: A helyszíni helyen található VPN-eszköz nyilvános IP-címe. Vagy a helyszíni ExpressRoute esetében ez a VPN-eszköz privát IP-címe az ExpressRoute-on keresztül.

    • Ha a BGP engedélyezve van, az a webhelyhez az Azure-ban létrehozott összes kapcsolatra vonatkozik. A BGP virtuális WAN-on való konfigurálása egyenértékű a BGP Azure VPN-átjárón való konfigurálásával.

    • A helyszíni BGP-társcím nem lehet azonos a VPN-nek az eszközre vagy a VPN-hely virtuális hálózati címterére vonatkozó IP-címével. Használjon másik IP-címet a BGP-társ IP-címeként a VPN-eszközön. Ez lehet egy olyan cím is, amely az eszköz visszacsatolási hálózatához van rendelve. Azonban nem lehet APIPA (169.254).x. x) cím. Adja meg ezt a címet a megfelelő VPN-helyen, amely a helyet jelöli. A BGP előfeltételeiről lásd: A BGP ismertetése az Azure VPN Gateway használatával.

  3. Válassza a Tovább: Áttekintés + létrehozás > lehetőséget a beállítási értékek ellenőrzéséhez és a VPN-hely létrehozásához, majd a Webhely létrehozása lehetőséget .

  4. Ezután csatlakoztassa a webhelyet a központhoz az alábbi alapvető lépések útmutatóként való használatával. Az átjáró frissítése akár 30 percet is igénybe vehet.

3. Frissítse a VPN-kapcsolat beállítását az ExpressRoute használatára

Miután létrehozta a VPN-helyet, és csatlakozott a központhoz, az alábbi lépésekkel konfigurálhatja a kapcsolatot az ExpressRoute privát társviszony-létesítés használatára:

  1. Nyissa meg a virtuális központot. Ehhez nyissa meg a Virtual WAN, és válassza ki a központot a központ oldalának megnyitásához, vagy lépjen a csatlakoztatott virtuális központra a VPN-helyről.

  2. A Kapcsolatok területen válassza a VPN (helyek közötti) lehetőséget.

  3. Jelölje ki a három pontot (...), vagy kattintson a jobb gombbal a VPN-webhelyre az ExpressRoute-on keresztül, és válassza a VPN-kapcsolat szerkesztése ehhez a központhoz lehetőséget.

  4. Az Alapok lapon hagyja meg az alapértelmezett értékeket.

  5. A Kapcsolat 1 oldalon konfigurálja a következő beállításokat:

    • Az Azure Privát IP-cím használata beállításnál válassza az Igen lehetőséget. A beállítás úgy konfigurálja a központi VPN-átjárót, hogy a nyilvános IP-címek helyett privát IP-címeket használjon a kapcsolat átjárójának központi címtartományán belül. Ez biztosítja, hogy a helyszíni hálózatról érkező forgalom az ExpressRoute privát társviszony-létesítési útvonalait járja be ahelyett, hogy ehhez a VPN-kapcsolathoz nyilvános internetet használ.

  6. A beállítások frissítéséhez kattintson a Létrehozás gombra. A beállítások létrehozása után a központi VPN-átjáró a VPN-átjáró magánhálózati IP-címeivel hozza létre a helyszíni VPN-eszközzel létesített IPsec/IKE-kapcsolatokat az ExpressRoute-on keresztül.

4. A központi VPN-átjáró magánhálózati IP-címeinek lekérése

Töltse le a VPN-eszköz konfigurációját a központi VPN-átjáró magánhálózati IP-címeinek lekéréséhez. A helyszíni VPN-eszköz konfigurálásához ezekre a címekre van szüksége.

  1. A központ oldalán válassza a VPN (helyek közötti) lehetőséget a Kapcsolatok területen.

  2. Az Áttekintés lap tetején válassza a VPN-konfiguráció letöltése lehetőséget.

    Az Azure létrehoz egy tárfiókot a "microsoft-network-[location]" erőforráscsoportban, ahol a hely a WAN helye. Miután alkalmazta a konfigurációt a VPN-eszközökre, törölheti ezt a tárfiókot.

  3. A fájl létrehozása után kattintson a hivatkozásra a letöltéséhez.

  4. Alkalmazza a konfigurációt a VPN-eszközre.

VPN-eszköz konfigurációs fájlja

Az eszközkonfigurációs fájl tartalmazza a helyszíni VPN-eszköz konfigurálásakor használni kívánt beállításokat. A fájl áttekintésekor a következő információkat láthatja:

  • vpnSiteConfiguration: Ez a szakasz a virtuális WAN-hoz csatlakozó helyként beállított eszközadatokat jelöli. Tartalmazza az ágeszköz nevét és nyilvános IP-címét.

  • vpnSiteConnections: Ez a szakasz a következő beállításokról nyújt információt:

    • A virtuális központ virtuális hálózatának címtere.
      Például: "AddressSpace":"10.51.230.0/24"
    • A központhoz csatlakoztatott virtuális hálózatok címtere.
      Például: "ConnectedSubnets":["10.51.231.0/24"]
    • A virtuális központ VPN-átjárójának IP-címei. Mivel a VPN-átjáró minden kapcsolata két alagutat alkot az aktív-aktív konfigurációban, mindkét IP-cím megjelenik ebben a fájlban. Ebben a példában Instance0 a és Instance1 a hely látható, és ezek a nyilvános IP-címek helyett magánhálózati IP-címek.
      Például: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • A VPN-átjáró kapcsolatának konfigurációs részletei, például a BGP és az előmegosztott kulcs. A rendszer automatikusan létrehozza az előmegosztott kulcsot. Az egyéni előmegosztott kulcsok Áttekintés lapján bármikor szerkesztheti a kapcsolatot.

Eszközkonfigurációs példafájl

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

VPN-eszköz konfigurálása

Amennyiben útmutatásra van szüksége az eszköz konfigurálásához, használhatja a VPN-eszközkonfigurációs szkriptek lapon található utasításokat az alábbi kikötésekkel:

  • A VPN-eszközoldalon található utasítások nem virtuális WAN-hoz íródnak. A konfigurációs fájlban található virtuális WAN-értékekkel azonban manuálisan konfigurálhatja a VPN-eszközt.
  • A VPN-átjáró letölthető eszközkonfigurációs szkriptjei nem működnek a virtuális WAN-hoz, mert a konfiguráció eltérő.
  • Az új virtuális WAN támogatja az IKEv1 és az IKEv2 protokollt is.
  • A virtuális WAN csak útvonalalapú VPN-eszközöket és eszközutasításokat használhat.

5. A virtuális WAN megtekintése

  1. Lépjen a virtuális WAN-ra.
  2. Az Áttekintés lapon a térkép minden pontja egy központot jelöl.
  3. A Központok és kapcsolatok szakaszban megtekintheti a központ, a hely, a régió és a VPN-kapcsolat állapotát. A bájtok be- és kifelé is megtekinthetők.

6. Kapcsolat monitorozása

Kapcsolat létrehozása egy Azure-beli virtuális gép (VM) és egy távoli hely közötti kommunikáció monitorozásához. A kapcsolatmonitor beállításával kapcsolatos információkért lásd a hálózati kommunikáció monitorozását ismertető szakaszt. A forrásmező az Azure-beli virtuális gép IP-címe, a cél IP-címe pedig a hely IP-címe.

7. Erőforrások eltávolítása

Ha már nincs szüksége ezekre az erőforrásokra, a Remove-AzResourceGroup használatával eltávolíthatja az erőforráscsoportot és az összes benne lévő erőforrást. Futtassa a következő PowerShell-parancsot, és cserélje le myResourceGroup a elemet az erőforráscsoport nevére:

Remove-AzResourceGroup -Name myResourceGroup -Force

Következő lépések

Ez a cikk segít VPN-kapcsolatot létrehozni expressRoute-alapú privát társviszony-létesítésen keresztül az Virtual WAN használatával. A Virtual WAN és a kapcsolódó funkciókról az Virtual WAN áttekintésében talál további információt.