Ringkasan konfigurasi perangkat VPN mitra
Artikel ini memberikan ringkasan tentang mengonfigurasi perangkat VPN lokal agar terhubung ke gateway VPN Azure. Sampel jaringan virtual Azure dan penyiapan gateway VPN digunakan untuk menunjukkan cara menyambung ke konfigurasi perangkat VPN lokal yang berbeda dengan menggunakan parameter yang sama.
Persyaratan perangkat
Gateway VPN Azure menggunakan rangkaian protokol IPsec/IKE standar untuk terowongan VPN situs-ke-situs (S2S). Untuk daftar parameter IPsec/IKE dan algoritma kriptografi untuk gateway VPN Azure, lihat Tentang perangkat VPN. Anda juga dapat menentukan algoritma dan kekuatan kunci yang tepat untuk koneksi tertentu seperti yang dijelaskan dalam Tentang persyaratan kriptografi.
Terowongan VPN tunggal
Konfigurasi pertama dalam sampel terdiri dari terowongan VPN S2S tunggal antara gateway VPN Azure dan perangkat VPN lokal. Anda dapat secara opsional mengonfigurasi Protokol Gateway Batas (BGP) di seluruh terowongan VPN.
Untuk instruksi langkah demi langkah menyiapkan terowongan VPN tunggal, lihat Mengonfigurasi koneksi situs-ke-situs. Bagian berikut menentukan parameter koneksi untuk konfigurasi sampel dan memberikan skrip PowerShell untuk membantu Anda memulai.
Parameter koneksi
Bagian ini mencantumkan parameter untuk contoh yang dijelaskan di bagian sebelumnya.
| Parameter | Nilai |
|---|---|
| Prefiks alamat jaringan virtual | 10.11.0.0/16 10.12.0.0/16 |
| IP gateway VPN Azure | IP VPN Gateway Azure |
| Prefiks alamat lokal | 10.51.0.0/16 10.52.0.0/16 |
| IP perangkat VPN lokal | IP perangkat VPN lokal |
| * Jaringan virtual BGP ASN | 65010 |
| * IP serekan BGP Azure | 10.12.255.30 |
| * BGP ASN lokal | 65050 |
| * IP serekan BGP lokal | 10.52.255.254 |
* Parameter opsional hanya untuk BGP.
Sampel skrip PowerShell
Bagian ini memberikan skrip sampel untuk membantu Anda memulai. Untuk instruksi terperinci, lihat Membuat koneksi VPN S2S dengan menggunakan PowerShell.
# Declare your variables
$Sub1 = "Replace_With_Your_Subscription_Name"
$RG1 = "TestRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15 = "VNet1toSite5"
$LNGName5 = "Site5"
$LNGPrefix50 = "10.52.255.254/32"
$LNGPrefix51 = "10.51.0.0/16"
$LNGPrefix52 = "10.52.0.0/16"
$LNGIP5 = "Your_VPN_Device_IP"
$LNGASN5 = 65050
$BGPPeerIP5 = "10.52.255.254"
# Connect to your subscription and create a new resource group
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
# Create virtual network
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
# Create VPN gateway
$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN
# Create local network gateway
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
# Create the S2S VPN connection
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False
(Opsional) Gunakan kebijakan IPsec/IKE sesuai yang Anda inginkan dengan UsePolicyBasedTrafficSelectors
Jika perangkat VPN Anda tidak mendukung pemilih lalu lintas apa pun, seperti konfigurasi berbasis rute atau berbasis VTI, buat kebijakan IPsec/IKE sesuai yang Anda inginkan dengan opsi UsePolicyBasedTrafficSelectors.
Penting
Anda harus membuat kebijakan IPsec/IKE untuk mengaktifkan opsi UsePolicyBasedTrafficSelectors pada koneksi.
Sampel skrip membuat kebijakan IPsec/IKE dengan algoritma dan parameter berikut:
- IKEv2: AES256, SHA384, DHGroup24
- IPsec: AES256, SHA1, PFS24, SA Seumur Hidup 7.200 detik, dan 20.480.000 KB (20 GB)
Skrip menerapkan kebijakan IPsec/IKE dan mengaktifkan opsi UsePolicyBasedTrafficSelectors pada koneksi.
$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True
(Opsional) Gunakan BGP pada koneksi VPN S2S
Saat membuat koneksi VPN S2S, Anda dapat secara opsional menggunakan BGP untuk gateway VPN. Pendekatan ini memiliki dua perbedaan:
Prefiks alamat lokal dapat berupa satu alamat host. Alamat IP serekan BGP lokal ditentukan sebagai berikut:
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5Saat Anda membuat koneksi, Anda harus mengatur opsi -EnableBGP ke $True:
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
Langkah berikutnya
Untuk instruksi langkah demi langkah menyiapkan gateway VPN aktif-aktif, lihat Mengonfigurasi gateway VPN aktif-aktif untuk koneksi lintas tempat dan VNet-ke-VNet.