Bagikan melalui


Gambaran umum konfigurasi perangkat VPN mitra

Artikel ini memberikan gambaran umum tentang mengonfigurasi perangkat VPN lokal untuk menyambungkan ke gateway VPN Azure. Sampel jaringan virtual Azure dan penyiapan gateway VPN digunakan untuk menunjukkan kepada Anda cara menyambungkan ke konfigurasi perangkat VPN lokal yang berbeda dengan menggunakan parameter yang sama.

Persyaratan perangkat

Gateway VPN Azure menggunakan suite protokol IPsec/IKE standar untuk terowongan VPN situs-ke-situs (S2S). Untuk daftar parameter IPsec/IKE dan algoritma kriptografi untuk gateway VPN Azure, lihat Tentang perangkat VPN. Anda juga dapat menentukan algoritma dan kekuatan utama yang tepat untuk koneksi tertentu seperti yang dijelaskan dalam Tentang persyaratan kriptografi.

Terowongan VPN tunggal

Konfigurasi pertama dalam sampel terdiri dari satu terowongan VPN S2S antara gateway Vpn Azure dan perangkat VPN lokal. Anda dapat secara opsional mengonfigurasi Border Gateway Protocol (BGP) di seluruh terowongan VPN.

Diagram terowongan VPN S2S tunggal

Untuk instruksi langkah demi langkah untuk menyiapkan satu terowongan VPN, lihat Mengonfigurasi koneksi situs-ke-situs. Bagian berikut menentukan parameter koneksi untuk konfigurasi sampel dan menyediakan skrip PowerShell untuk membantu Anda memulai.

Parameter koneksi

Bagian ini mencantumkan parameter untuk contoh yang dijelaskan di bagian sebelumnya.

Parameter Nilai
Prefiks alamat jaringan virtual 10.11.0.0/16
10.12.0.0/16
Azure VPN gateway IP Azure VPN Gateway IP
Awalan alamat lokal 10.51.0.0/16
10.52.0.0/16
IP perangkat VPN lokal IP perangkat VPN lokal
* Jaringan virtual BGP ASN 65010
* IP Peer BGP Azure 10.12.255.30
* ASN BGP lokal 65050
* IP peer BGP lokal 10.52.255.254

* Parameter opsional hanya untuk BGP.

Contoh skrip PowerShell

Bagian ini menyediakan contoh skrip untuk memulai. Untuk instruksi mendetail, lihat Membuat koneksi VPN S2S dengan menggunakan PowerShell.

# Declare your variables

$Sub1          = "Replace_With_Your_Subscription_Name"
$RG1           = "TestRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$VNet1ASN      = 65010
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GWIPName1     = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15  = "VNet1toSite5"
$LNGName5      = "Site5"
$LNGPrefix50   = "10.52.255.254/32"
$LNGPrefix51   = "10.51.0.0/16"
$LNGPrefix52   = "10.52.0.0/16"
$LNGIP5        = "Your_VPN_Device_IP"
$LNGASN5       = 65050
$BGPPeerIP5    = "10.52.255.254"

# Connect to your subscription and create a new resource group

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

# Create virtual network

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

# Create VPN gateway

$gwpip1    = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1     = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

# Create local network gateway

New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

# Create the S2S VPN connection

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False

(Opsional) Menggunakan kebijakan IPsec/IKE kustom dengan UsePolicyBasedTrafficSelectors

Jika perangkat VPN Anda tidak mendukung pemilih lalu lintas apa pun, seperti konfigurasi berbasis rute atau berbasis VTI, buat kebijakan IPsec/IKE kustom dengan opsi UsePolicyBasedTrafficSelectors .

Penting

Anda harus membuat kebijakan IPsec/IKE untuk mengaktifkan opsi UsePolicyBasedTrafficSelectors pada koneksi.

Skrip sampel membuat kebijakan IPsec/IKE dengan algoritma dan parameter berikut:

  • IKEv2: AES256, SHA384, DHGroup24
  • IPsec: AES256, SHA1, PFS24, masa aktif SA 7.200 detik, dan 20.480.000 KB (20 GB)

Skrip menerapkan kebijakan IPsec/IKE dan mengaktifkan opsi UsePolicyBasedTrafficSelectors pada koneksi.

$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True

(Opsional) Menggunakan BGP pada koneksi VPN S2S

Saat membuat koneksi VPN S2S, Anda dapat secara opsional menggunakan BGP untuk gateway VPN. Pendekatan ini memiliki dua perbedaan:

  • Awalan alamat lokal dapat berupa satu alamat host. Alamat IP serekan BGP lokal ditentukan sebagai berikut:

    New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
    
  • Saat membuat koneksi, Anda harus mengatur opsi -EnableBGP ke $True:

    New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
    

Langkah berikutnya

Untuk instruksi langkah demi langkah untuk menyiapkan gateway VPN aktif-aktif, lihat Mengonfigurasi gateway VPN aktif-aktif untuk koneksi lintas lokasi dan VNet-ke-VNet.