Bagikan melalui

Mensimulasikan konektivitas jaringan jarak jauh menggunakan Azure VNG

  • Artikel

Organisasi mungkin ingin memperluas kemampuan Akses Internet Microsoft Entra ke seluruh jaringan bukan hanya perangkat individual tempat mereka dapat menginstal Klien Akses Aman Global. Artikel ini memperlihatkan cara memperluas kemampuan ini ke jaringan virtual Azure yang dihosting di cloud. Prinsip serupa mungkin diterapkan pada peralatan jaringan lokal pelanggan.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam proses ini, Anda harus memiliki prasyarat berikut:

Komponen jaringan virtual

Membangun fungsionalitas ini di Azure memberi organisasi kemampuan untuk memahami cara kerja Akses Internet Microsoft Entra dalam implementasi yang lebih luas. Sumber daya yang kita buat di Azure sesuai dengan konsep lokal dengan cara berikut:

Diagram memperlihatkan jaringan virtual di Azure yang tersambung ke Akses Internet Microsoft Entra mensimulasikan jaringan pelanggan.

Sumber daya Azure Komponen lokal tradisional
Jaringan virtual Ruang alamat IP lokal Anda
Gateway jaringan virtual Router lokal Anda, kadang-kadang disebut sebagai peralatan lokal pelanggan (CPE)
Gateway jaringan lokal Gateway Microsoft yang digunakan oleh router Anda (gateway jaringan virtual Azure) untuk membangun terowongan IPsec ke
Koneksi Terowongan VPN IPsec dibuat antara gateway jaringan virtual dan gateway jaringan lokal
Mesin virtual Perangkat klien di jaringan lokal Anda

Dalam dokumen ini, kita menggunakan nilai default berikut. Jangan ragu untuk mengonfigurasi pengaturan ini sesuai dengan kebutuhan Anda sendiri.

  • Langganan: Visual Studio Enterprise
  • Nama grup sumber daya: Network_Simulation
  • Wilayah: US Timur

Langkah-langkah tingkat tinggi

Langkah-langkah untuk mensimulasikan konektivitas jaringan jarak jauh dengan jaringan virtual Azure diselesaikan di portal Azure dan pusat admin Microsoft Entra. Mungkin berguna untuk membuka beberapa tab sehingga Anda dapat beralih di antara tab tersebut dengan mudah.

Sebelum membuat sumber daya virtual, Anda memerlukan grup sumber daya dan jaringan virtual untuk digunakan di seluruh bagian berikut. Jika Anda sudah memiliki grup sumber daya pengujian dan jaringan virtual yang dikonfigurasi, Anda dapat memulai pada langkah #3.

  1. Membuat grup sumber daya (portal Azure)
  2. Membuat jaringan virtual (portal Azure)
  3. Buat gateway jaringan virtual (portal Azure)
  4. Membuat jaringan jarak jauh dengan tautan perangkat (pusat admin Microsoft Entra)
  5. Membuat gateway jaringan lokal (portal Azure)
  6. Membuat koneksi VPN situs-ke-situs (S2S) di portal Azure
  7. Verifikasi konektivitas (Keduanya)

Buat grup sumber daya

Buat grup sumber daya untuk berisi semua sumber daya yang diperlukan.

  1. Masuk ke portal Azure dengan izin untuk membuat sumber daya.
  2. Buka Grup sumber daya.
  3. Pilih Buat.
  4. Pilih Langganan, Wilayah, dan berikan nama untuk grup Sumber Daya Anda.
  5. Pilih Tinjau dan buat.
  6. Konfirmasikan detail Anda, lalu pilih Buat.

Cuplikan layar bidang pembuatan grup sumber daya.

Membuat jaringan virtual

Buat jaringan virtual di dalam grup sumber daya baru Anda.

  1. Dari portal Azure, telusuri ke Virtual Networks.
  2. Pilih Buat.
  3. Pilih Grup sumber daya yang baru saja Anda buat.
  4. Beri jaringan Anda dengan Nama Jaringan Virtual.
  5. Biarkan nilai default untuk bidang lainnya.
  6. Pilih Tinjau dan buat.
  7. Pilih Buat.

Cuplikan layar dari bidang-bidang untuk membuat jaringan virtual.

Buat gateway jaringan virtual

Buat gateway jaringan virtual di dalam grup sumber daya baru Anda.

  1. Dari portal Azure, telusuri ke Gateway jaringan virtual.

  2. Pilih Buat.

  3. Sediakan gateway jaringan virtual Anda dengan Nama dan pilih wilayah yang sesuai.

  4. Pilih Jaringan virtual yang dibuat di bagian sebelumnya.

    Cuplikan layar portal Azure memperlihatkan pengaturan konfigurasi untuk gateway jaringan virtual.

  5. Buat alamat IP Publik dan berikan dengan nama deskriptif.

    • OPSIONAL: Jika Anda menginginkan terowongan IPsec sekunder, di bawah bagian ALAMAT IP PUBLIK KEDUA, buat alamat IP publik lain dan beri nama. Jika Anda membuat terowongan IPsec kedua, Anda perlu membuat dua tautan perangkat di langkah Buat jaringan jarak jauh.
    • Atur mode aktif-aktif ke Dinonaktifkan jika Anda tidak memerlukan alamat IP publik kedua.
    • Sampel dalam artikel ini menggunakan satu terowongan IPsec.

  6. Pilih Zona ketersediaan.

  7. Atur Konfigurasikan BGP ke Diaktifkan.

  8. Atur nomor sistem Otonom (ASN) ke nilai yang sesuai. Lihat daftar nilai ASN yang valid untuk nilai cadangan yang tidak dapat digunakan.

    Cuplikan layar bidang alamat IP untuk membuat gateway jaringan virtual.

  9. Biarkan semua pengaturan lain ke default atau kosong.

  10. Pilih Tinjau dan buat. Konfirmasi pengaturan Anda.

  11. Pilih Buat.

Catatan

Gateway jaringan virtual mungkin membutuhkan waktu beberapa menit untuk menyebarkan dan membuat. Anda dapat memulai bagian berikutnya sambil sedang dibuat, tetapi Anda memerlukan alamat IP publik dari gateway jaringan virtual Anda untuk menyelesaikan langkah berikutnya.

Untuk melihat alamat IP ini, buka halaman Konfigurasi dari gerbang jaringan virtual Anda setelah dikerahkan.

Cuplikan layar memperlihatkan cara menemukan alamat IP publik gateway jaringan virtual.

Membuat jaringan jarak jauh

Proses untuk membuat jaringan jarak jauh selesai di pusat admin Microsoft Entra. Ada dua set tab tempat Anda memasukkan informasi.

Cuplikan layar dua set tab yang digunakan dalam proses.

Langkah-langkah berikut ini menyediakan informasi dasar yang diperlukan untuk membuat jaringan jarak jauh dengan Akses Aman Global. Proses ini tercakup dalam detail yang lebih besar dalam dua artikel terpisah. Ada beberapa detail yang dapat dengan mudah dicampur, jadi tinjau artikel berikut untuk informasi selengkapnya:

Redundansi zona

Sebelum Anda membuat jaringan jarak jauh untuk Akses Aman Global, luangkan waktu sejenak untuk meninjau dua opsi tentang redundansi. Jaringan jarak jauh dapat dibuat dengan atau tanpa redundansi. Anda dapat menambahkan redundansi dengan dua cara:

  • Pilih Redundansi zona saat membuat tautan perangkat di pusat admin Microsoft Entra.
    • Dalam skenario ini, kami membuat gateway lain untuk Anda di zona ketersediaan yang berbeda dalam Wilayah pusat data yang sama dengan yang Anda pilih saat membuat jaringan jarak jauh Anda.
    • Dalam skenario ini, Anda hanya memerlukan satu alamat IP publik di gateway jaringan virtual Anda.
    • Dua terowongan IPSec dibuat dari alamat IP publik router Anda yang sama ke gateway Microsoft yang berbeda di zona ketersediaan yang berbeda.
  • Buat alamat IP publik sekunder di portal Azure dan buat dua tautan perangkat dengan alamat IP publik yang berbeda di pusat admin Microsoft Entra.
    • Anda dapat memilih Tidak ada redundansi saat menambahkan tautan perangkat ke jaringan jarak jauh Anda di pusat admin Microsoft Entra.
    • Dalam skenario ini, Anda memerlukan alamat IP publik primer dan sekunder di gateway jaringan virtual Anda.

Untuk artikel ini, kami memilih jalur redundansi zona.

Tips

Alamat BGP lokal harus berupa alamat IP privat yang berada di luar ruang alamat jaringan virtual yang terkait dengan gateway jaringan virtual Anda. Misalnya, jika ruang alamat jaringan virtual Anda adalah 10.1.0.0/16, maka Anda dapat menggunakan 10.2.0.0 sebagai alamat BGP Lokal Anda.

Lihat daftar alamat BGP yang valid untuk nilai cadangan yang tidak dapat digunakan.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Aman Global.
  2. Telusuri ke Global Secure Access>Connect>Jaringan Jarak Jauh.
  3. Pilih tombol Buat jaringan jarak jauh dan berikan detail berikut pada tab Dasar :
    • Nama
    • Wilayah

Cuplikan layar tab dasar untuk membuat jaringan jarak jauh.

  1. Pada tab Konektivitas, pilih Tambahkan tautan.

  2. Pada tab Tambahkan tautan - Umum , masukkan detail berikut ini:

    • Nama tautan: Nama Peralatan Lokal Pelanggan (CPE) Anda.
    • Jenis perangkat: Pilih opsi perangkat dari daftar dropdown.
    • Alamat IP perangkat: Alamat IP publik dari perangkat CPE (peralatan lokal pelanggan) Anda.
    • Alamat BGP perangkat: Masukkan alamat IP BGP CPE Anda.
      • Alamat ini dimasukkan sebagai alamat IP BGP lokal pada CPE.
    • ASN Perangkat: Berikan nomor sistem otonom (ASN) dari CPE.
      • Koneksi berkemampuan BGP antara dua gateway jaringan mengharuskan mereka memiliki ASN yang berbeda.
      • Untuk informasi selengkapnya, lihat bagian ASN Valid dari artikel Konfigurasi jaringan jarak jauh.
    • Redundansi: Pilih Tidak ada redundansi atau Redundansi zona untuk terowongan IPSec Anda.
    • Alamat BGP lokal redundansi zona: Bidang opsional ini hanya muncul ketika Anda memilih redundansi zona.
      • Masukkan alamat IP BGP yang bukan bagian dari jaringan on-premises Anda tempat CPE Anda berada dan berbeda dari alamat BGP Perangkat.
    • Kapasitas bandwidth (Mbps): Tetapkan kapasitas bandwidth terowongan. Opsi yang tersedia adalah 250, 500, 750, dan 1.000 Mbps.
    • Alamat BGP lokal: Masukkan alamat IP BGP yang bukan bagian dari jaringan lokal Tempat CPE Anda berada.
      • Misalnya, jika jaringan lokal Anda adalah 10.1.0.0/16, maka Anda dapat menggunakan 10.2.0.4 sebagai alamat BGP Lokal Anda.
      • Alamat ini dimasukkan sebagai alamat IP BGP mitra di CPE Anda.
      • Lihat daftar alamat BGP yang valid untuk nilai cadangan yang tidak dapat digunakan.

    Cuplikan layar tab Tambahkan tautan - Umum dengan contoh di setiap bidang.

  3. Pada tab Tambahkan tautan - Detail biarkan nilai default dipilih, kecuali Anda membuat pilihan lain sebelumnya, dan pilih tombol Berikutnya .

  4. Pada tab Tambahkan tautan - Keamanan , masukkan Kunci pra-berbagi (PSK) dan pilih tombol Simpan . Anda kembali ke kumpulan tab utama Buat jaringan jarak jauh.

  5. Pada tab Profil lalu lintas, pilih profil penerusan lalu lintas yang sesuai.

  6. Pilih tombol Tinjau + Buat.

  7. Jika semuanya terlihat benar, pilih tombol Buat jaringan jarak jauh.

Melihat konfigurasi konektivitas

Setelah Anda membuat jaringan jarak jauh dan menambahkan tautan perangkat, detail konfigurasi tersedia di pusat admin Microsoft Entra. Anda memerlukan beberapa detail dari konfigurasi ini untuk menyelesaikan langkah berikutnya.

  1. Telusuri ke Global Secure Access>Connect>Jaringan Jarak Jauh.

  2. Di kolom terakhir di sebelah kanan dalam tabel, pilih Tampilkan konfigurasi untuk jaringan jarak jauh yang Anda buat. Konfigurasi ditampilkan sebagai blob JSON.

  3. Temukan dan simpan alamat endpointIP publik Microsoft , , asndan bgpAddress dari panel yang terbuka.

    Cuplikan layar panel konfigurasi tampilan.

Diagram berikut menyambungkan detail utama detail konfigurasi ini ke peran korelasinya dalam jaringan jarak jauh yang disimulasikan. Deskripsi teks diagram mengikuti gambar.

Diagram konfigurasi jaringan jarak jauh dan di mana detail berkorelasi dengan jaringan.

Pusat diagram menggambarkan grup sumber daya yang berisi komputer virtual yang terhubung ke jaringan virtual. Gateway jaringan virtual kemudian tersambung ke gateway jaringan lokal melalui koneksi VPN redundan situs-ke-situs.

Cuplikan layar yang menunjukkan detail konektivitas memiliki dua bagian yang disorot. Bagian pertama yang disorot di bawah localConfigurations berisi detail gateway Akses Aman Global, yang merupakan gateway jaringan lokal Anda.

Gateway Jaringan Lokal 1

  • Alamat IP publik/titik akhir: 120.x.x.76
  • ASN: 65476
  • Alamat IP BGP/bgpAddress: 192.168.1.1

Gateway Jaringan Lokal 2

  • Alamat IP publik/titik akhir: 4.x.x.193
  • ASN: 65476
  • Alamat IP BGP/bgpAddress: 192.168.1.2

Bagian kedua yang disorot di bawah peerConfiguration berisi detail gateway jaringan virtual, yang merupakan peralatan router lokal Anda.

Virtual Network Gateway

  • Alamat IP publik/titik akhir: 20.x.x.1
  • ASN: 65533
  • Alamat IP BGP: 10.1.1.1

Panggilan lain menunjuk ke jaringan virtual yang Anda buat di grup sumber daya Anda. Ruang alamat untuk jaringan virtual adalah 10.2.0.0/16. Alamat BGP lokal dan alamat BGP rekan tidak boleh berada di ruang alamat yang sama.

Buat gateway jaringan lokal

Langkah ini selesai dalam portal Azure. Beberapa detail dari langkah sebelumnya diperlukan untuk menyelesaikan langkah ini.

Jika Anda memilih Tidak ada redundansi saat membuat tautan perangkat di pusat admin Microsoft Entra, Anda hanya perlu membuat satu gateway jaringan lokal.

Jika Anda memilih Redundansi Zona, Anda perlu membuat dua gateway jaringan lokal. Anda memiliki dua kumpulan endpoint, asn dan bgpAddress di localConfigurations untuk tautan perangkat. Informasi ini disediakan dalam Melihat detail Konfigurasi untuk jaringan jarak jauh tersebut di pusat admin Microsoft Entra.

  1. Dari portal Azure, telusuri ke Gateway jaringan lokal.

  2. Pilih Buat.

  3. Pilih Grup sumber daya yang dibuat sebelumnya.

  4. Pilih wilayah yang sesuai.

  5. Berikan Nama gateway jaringan lokal Anda.

  6. Untuk Endpoint, pilih alamat IP, lalu berikan endpoint alamat IP yang disediakan di pusat admin Microsoft Entra.

  7. Pilih Berikutnya: Tingkat Lanjut.

  8. Atur Konfigurasikan BGP ke Ya.

  9. Masukkan nomor sistem Otonom (ASN) dari bagian localConfigurationsLihat detail konfigurasi .

  10. Masukkan alamat IP rekan BGP dari bagian localConfigurations pada rincian Lihat konfigurasi.

    Cuplikan layar bidang ASN dan BGP dalam proses gateway jaringan lokal.

  11. Pilih Tinjau + buat dan konfirmasi pengaturan Anda.

  12. Pilih Buat.

Jika Anda menggunakan redundansi zona, ulangi langkah-langkah ini untuk membuat gateway jaringan lokal lain dengan kumpulan nilai kedua.

Navigasi ke Konfigurasi untuk meninjau detail gateway jaringan lokal Anda.

Cuplikan layar portal Azure memperlihatkan pengaturan konfigurasi untuk gateway jaringan lokal.

Membuat koneksi VPN Situs-ke-situs (S2S)

Langkah ini selesai dalam portal Azure. Anda perlu membuat dua koneksi di sini jika Anda membuat gateway kedua, satu untuk gateway utama dan sekunder Anda. Untuk langkah ini, pertahankan semua pengaturan dibiarkan pada nilai default kecuali jika dinyatakan lain.

  1. Dari portal Azure, telusuri ke Koneksi.
  2. Pilih Buat.
  3. Pilih Grup sumber daya yang dibuat sebelumnya.
  4. Di bawah Jenis koneksi, pilih Situs-ke-situs (IPsec).
  5. Berikan Nama untuk koneksi, dan pilih Wilayah yang sesuai.
  6. Pilih Berikutnya: Pengaturan.
  7. Pilih Gateway jaringan virtual dan Gateway jaringan lokal yang dibuat sebelumnya.
  8. Masukkan Kunci bersama (PSK) yang sama dengan yang Anda masukkan saat membuat tautan perangkat di langkah sebelumnya.
  9. Centang kotak untuk Aktifkan BGP.
  10. Pilih Tinjau dan buat. Konfirmasi pengaturan Anda.
  11. Pilih Buat.

Ulangi langkah-langkah ini untuk membuat koneksi lain dengan gateway jaringan lokal kedua.

Cuplikan layar portal Azure memperlihatkan pengaturan konfigurasi untuk koneksi situs-ke-situs.

Verifikasi konektivitas

Untuk memverifikasi konektivitas, Anda perlu mensimulasikan arus lalu lintas. Salah satu metodenya adalah membuat komputer virtual (VM) untuk memulai lalu lintas.

Mensimulasikan lalu lintas dengan komputer virtual

Langkah ini membuat VM dan memulai lalu lintas ke layanan Microsoft. Biarkan semua pengaturan diatur ke nilai default kecuali dinyatakan.

  1. Dari portal Azure, telusuri ke Komputer virtual.
  2. Pilih Buat>mesin virtual Azure.
  3. Pilih Grup sumber daya yang dibuat sebelumnya.
  4. Berikan nama Komputer virtual.
  5. Pilih Gambar yang ingin Anda gunakan, untuk contoh ini kami memilih Windows 11 Pro, versi 22H2 - x64 Gen2
  6. Pilih Jalankan dengan diskon Azure Spot untuk pengujian ini.
  7. Berikan Nama Pengguna dan Kata Sandi untuk VM Anda.
  8. Konfirmasikan bahwa Anda memiliki lisensi Windows 10/11 yang memenuhi syarat dengan hak hosting multipenyewa di bagian bawah halaman.
  9. Pindah ke tab Jaringan .
  10. Pilih Jaringan virtual yang dibuat sebelumnya.
  11. Pindah ke tab Manajemen
  12. Centang kotak Masuk dengan ID Microsoft Entra.
  13. Pilih Tinjau dan buat. Konfirmasi pengaturan Anda.
  14. Pilih Buat.

Anda dapat memilih untuk mengunci akses jarak jauh ke grup keamanan jaringan hanya ke jaringan atau IP tertentu.

Memverifikasi status konektivitas

Setelah Anda membuat jaringan jarak jauh dan koneksi di langkah-langkah sebelumnya, mungkin perlu waktu beberapa menit agar koneksi dibuat. Dari portal Azure, Anda dapat memvalidasi bahwa terowongan VPN terhubung dan bahwa peering BGP berhasil.

  1. Di portal Azure, telusuri gateway jaringan virtual yang dibuat sebelumnya dan pilih Koneksi.
  2. Setiap koneksi harus menampilkan StatusTersambung setelah konfigurasi diterapkan dan berhasil.
  3. Telusuri ke peering BGP di bawah bagian Pemantauan untuk mengonfirmasi bahwa peering BGP berhasil. Cari alamat rekan yang disediakan oleh Microsoft. Setelah konfigurasi diterapkan dan berhasil, Status akan menampilkan Tersambung.

Cuplikan layar memperlihatkan cara menemukan status koneksi untuk gateway jaringan virtual Anda.

Anda dapat menggunakan komputer virtual yang Anda buat untuk memvalidasi bahwa lalu lintas mengalir ke layanan Microsoft. Menelusuri sumber daya di SharePoint atau Exchange Online akan menghasilkan lalu lintas di gateway jaringan virtual Anda. Lalu lintas ini dapat dilihat dengan menelusuri metrik di gateway jaringan virtual atau dengan Mengonfigurasi pengambilan paket untuk gateway VPN.

Tips

Jika Anda menggunakan artikel ini untuk menguji Akses Internet Microsoft Entra, bersihkan semua sumber daya Azure terkait dengan menghapus grup sumber daya baru setelah Selesai.

Langkah berikutnya