Bagikan melalui

Mensimulasikan konektivitas jaringan jarak jauh menggunakan Azure VNG

Ikhtisar

Organisasi mungkin ingin memperluas kemampuan Akses Internet Microsoft Entra ke seluruh jaringan, bukan hanya perangkat individual. Mereka dapat menginstal Klien Akses Aman Global di perangkat ini. Artikel ini memperlihatkan cara memperluas kemampuan ini ke jaringan virtual Azure yang dihosting di cloud. Anda dapat menerapkan prinsip serupa ke peralatan jaringan lokal pelanggan.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam proses ini, Anda memerlukan prasyarat berikut:

Komponen jaringan virtual

Saat Anda membangun fungsionalitas ini di Azure, organisasi Anda dapat lebih memahami cara kerja Akses Internet Microsoft Entra dalam implementasi yang lebih luas. Sumber daya yang Anda buat di Azure sesuai dengan konsep lokal dengan cara berikut:

Diagram memperlihatkan jaringan virtual di Azure yang terhubung ke Akses Internet Microsoft Entra yang meniru jaringan pelanggan.

sumber daya Azure Komponen lokal tradisional
Jaringan virtual Ruang alamat IP lokal Anda
Gateway jaringan virtual Router lokal Anda, kadang-kadang disebut sebagai peralatan lokal pelanggan (CPE)
Gateway jaringan lokal Gateway Microsoft tempat router Anda (Azure gateway jaringan virtual) membuat terowongan IPsec ke
Koneksi Terowongan VPN IPsec dibuat antara gateway jaringan virtual dan gateway jaringan lokal
Mesin virtual Perangkat klien di jaringan lokal Anda

Dalam artikel ini, gunakan nilai default berikut. Anda dapat mengubah pengaturan ini agar sesuai dengan kebutuhan Anda sendiri.

  • Subscription: Visual Studio Enterprise
  • Nama grup sumber daya: Network_Simulation
  • Wilayah: US Timur

Langkah-langkah tingkat tinggi

Selesaikan langkah-langkah untuk mensimulasikan konektivitas jaringan jarak jauh dengan jaringan virtual Azure di portal Azure dan pusat admin Microsoft Entra. Mungkin berguna untuk membuka beberapa tab sehingga Anda dapat beralih di antara tab tersebut dengan mudah.

Sebelum membuat sumber daya virtual, Anda memerlukan grup sumber daya dan jaringan virtual untuk digunakan di seluruh bagian berikut. Jika Anda sudah memiliki grup sumber daya pengujian dan jaringan virtual yang dikonfigurasi, Anda dapat memulai pada langkah 3.

  1. Buat grup sumber daya (portal Azure)
  2. Buat jaringan virtual (portal Azure)
  3. Buat gateway jaringan virtual (portal Azure)
  4. Buat jaringan jarak jauh dengan tautan perangkat (pusat admin Microsoft Entra)
  5. Buat gateway jaringan lokal (portal Azure)
  6. Buat koneksi VPN situs-ke-situs (S2S) (portal Azure)
  7. Verifikasi konektivitas (Keduanya)

Buat grup sumber daya

Buat grup sumber daya untuk berisi semua sumber daya yang diperlukan.

  1. Masuk ke portal Azure dengan izin untuk membuat sumber daya.
  2. Buka Grup sumber daya.
  3. Pilih Buat.
  4. Pilih Langganan dan Wilayah Anda, dan masukkan nama untuk grup Sumber Daya Anda.
  5. Pilih Tinjau dan buat.
  6. Konfirmasi detail Anda, lalu pilih Buat.

Cuplikan layar yang memperlihatkan bidang buat grup sumber daya.

Membuat jaringan virtual

Buat jaringan virtual di dalam grup sumber daya baru Anda.

  1. Dari portal Azure, telusuri ke Virtual Networks.
  2. Pilih Buat.
  3. Pilih Grup sumber daya yang baru saja Anda buat.
  4. Masukkan Nama jaringan Virtual jaringan Anda.
  5. Biarkan nilai default untuk bidang lainnya.
  6. Pilih Tinjau dan buat.
  7. Pilih Buat.

Cuplikan layar yang memperlihatkan kolom untuk membuat jaringan virtual.

Buat gateway jaringan virtual

Buat gateway jaringan virtual di dalam grup sumber daya baru Anda.

  1. Dari portal Azure, telusuri ke gateway jaringan Virtual.

  2. Pilih Buat.

  3. Masukkan Nama untuk gateway jaringan virtual Anda dan pilih wilayah yang sesuai.

  4. Pilih Jaringan virtual Anda.

    Screenshot portal Azure memperlihatkan pengaturan konfigurasi untuk gateway jaringan virtual.

  5. Buat alamat IP Publik dan masukkan nama deskriptif.

    • OPSIONAL: Jika Anda menginginkan terowongan IPsec sekunder, di bawah bagian ALAMAT IP PUBLIK KEDUA , buat alamat IP publik lain dan masukkan nama. Jika Anda membuat terowongan IPsec kedua, Anda perlu membuat dua tautan perangkat di langkah Buat jaringan jarak jauh.
    • Atur mode aktif-aktif ke Dinonaktifkan jika Anda tidak memerlukan alamat IP publik kedua.
    • Sampel dalam artikel ini menggunakan satu terowongan IPsec.

  6. Pilih Zona ketersediaan.

  7. Atur Konfigurasikan BGP ke Diaktifkan.

  8. Atur nomor sistem Otonom (ASN) ke nilai yang sesuai. Lihat daftar nilai ASN yang valid untuk nilai cadangan yang tidak dapat Anda gunakan.

    Cuplikan layar bidang alamat IP untuk membuat gateway jaringan virtual.

  9. Biarkan semua pengaturan lain sebagai default atau kosong.

  10. Pilih Tinjau dan buat. Konfirmasi pengaturan Anda.

  11. Pilih Buat.

Catatan

Mungkin perlu waktu beberapa menit untuk menyebarkan dan membuat gateway jaringan virtual. Anda dapat memulai bagian berikutnya sambil sedang dibuat, tetapi Anda memerlukan alamat IP publik dari gateway jaringan virtual Anda untuk menyelesaikan langkah berikutnya.

Untuk melihat alamat IP ini, buka halaman Konfigurasi dari gerbang jaringan virtual Anda setelah dikerahkan.

Cuplikan layar yang memperlihatkan cara menemukan alamat IP publik gateway jaringan virtual.

Membuat jaringan jarak jauh

Anda membuat jaringan jarak jauh di pusat admin Microsoft Entra. Masukkan informasi dalam dua set tab.

Cuplikan layar dua set tab yang digunakan dalam proses.

Langkah-langkah berikut ini menyediakan informasi dasar yang diperlukan untuk membuat jaringan jarak jauh dengan Akses Aman Global. Dua artikel terpisah mencakup proses ini secara lebih rinci. Untuk menghindari kebingungan, tinjau artikel ini:

Redundansi zona

Sebelum Anda membuat jaringan jarak jauh untuk Akses Aman Global, tinjau dua opsi tentang redundansi. Anda dapat membuat jaringan jarak jauh dengan atau tanpa redundansi. Tambahkan redundansi dengan dua cara:

  • Pilih Redundansi zona saat membuat tautan perangkat di pusat admin Microsoft Entra.
    • Dalam skenario ini, Anda membuat gateway lain di zona ketersediaan yang berbeda dalam Wilayah pusat data yang sama dengan yang Anda pilih saat membuat jaringan jarak jauh Anda.
    • Dalam skenario ini, Anda hanya memerlukan satu alamat IP publik di gateway jaringan virtual Anda.
    • Dua terowongan IPSec dibuat dari alamat IP publik router Anda yang sama ke gateway Microsoft yang berbeda di zona ketersediaan yang berbeda.
  • Buat alamat IP publik sekunder di portal Azure dan buat dua tautan perangkat dengan alamat IP publik yang berbeda di pusat admin Microsoft Entra.
    • Anda dapat memilih Tidak redundansi saat menambahkan tautan perangkat ke jaringan jarak jauh Anda di pusat admin Microsoft Entra.
    • Dalam skenario ini, Anda memerlukan alamat IP publik primer dan sekunder di gateway jaringan virtual Anda.

Untuk artikel ini, pilih jalur redundansi zona.

Tips

Alamat BGP lokal harus berupa alamat IP privat yang berada di luar ruang alamat jaringan virtual yang terkait dengan gateway jaringan virtual Anda. Misalnya, jika ruang alamat jaringan virtual Anda adalah 10.1.0.0/16, Anda dapat menggunakan 10.2.0.0 sebagai alamat BGP Lokal Anda.

Lihat daftar alamat BGP yang valid untuk nilai cadangan yang tidak dapat Anda gunakan.

  1. Masuk ke pusat admin Microsoft Entra sebagai Global Secure Access Administrator.
  2. Telusuri ke Global Secure Access>Connect>Jaringan Jarak Jauh.
  3. Pilih Buat jaringan jarak jauh dan berikan detail berikut pada tab Dasar :
    • Nama
    • Wilayah

Cuplikan layar tab dasar untuk membuat jaringan jarak jauh.

  1. Pada tab Konektivitas, pilih Tambahkan tautan.

  2. Pada tab Tambahkan tautan - Umum , masukkan detail berikut ini:

    • Nama tautan: Nama Peralatan Lokal Pelanggan (CPE) Anda.
    • Jenis perangkat: Pilih opsi perangkat dari daftar dropdown.
    • Alamat IP perangkat: Alamat IP publik dari perangkat CPE (peralatan lokal pelanggan) Anda.
    • Alamat BGP perangkat: Masukkan alamat IP BGP CPE Anda.
      • Masukkan alamat ini sebagai alamat IP BGP lokal pada CPE.
    • ASN Perangkat: Berikan nomor sistem otonom (ASN) dari CPE.
      • Koneksi berkemampuan BGP antara dua gateway jaringan mengharuskan mereka memiliki ASN yang berbeda.
      • Untuk informasi selengkapnya, lihat bagian ASN Valid dari artikel Konfigurasi jaringan jarak jauh.
    • Redundansi: Pilih Tidak ada redundansi atau Redundansi zona untuk terowongan IPSec Anda.
    • Alamat BGP lokal redundansi zona: Bidang opsional ini hanya akan muncul ketika Anda memilih Redundansi zona.
      • Masukkan alamat IP BGP yang bukan bagian dari jaringan on-premises Anda tempat CPE Anda berada dan berbeda dari alamat BGP Perangkat.
    • Kapasitas bandwidth (Mbps): Tetapkan kapasitas bandwidth terowongan. Opsi yang tersedia adalah 250, 500, 750, dan 1.000 Mbps.
    • Alamat BGP lokal: Masukkan alamat IP BGP yang bukan bagian dari jaringan lokal Tempat CPE Anda berada.
      • Misalnya, jika jaringan lokal Anda adalah 10.1.0.0/16, Anda dapat menggunakan 10.2.0.4 sebagai alamat BGP Lokal Anda.
      • Masukkan alamat ini sebagai alamat IP BGP sebaya di CPE Anda.
      • Lihat daftar alamat BGP yang valid untuk nilai cadangan yang tidak dapat digunakan.

    Cuplikan layar tab Tambahkan tautan - Umum dengan contoh di setiap bidang.

  3. Pada tab Tambahkan tautan - Detail , pertahankan nilai default kecuali Anda membuat pilihan yang berbeda sebelumnya, dan pilih Berikutnya.

  4. Pada tab Tambahkan tautan - Keamanan , masukkan kunci pra-berbagi (PSK) dan pilih Simpan. Anda kembali ke kumpulan tab utama Buat jaringan jarak jauh.

  5. Pada tab Profil lalu lintas, pilih profil penerusan lalu lintas yang sesuai.

  6. Pilih Tinjau + Buat.

  7. Jika semuanya terlihat benar, pilih Buat jaringan jarak jauh.

Melihat konfigurasi konektivitas

Setelah membuat jaringan jarak jauh dan menambahkan tautan perangkat, Anda dapat melihat detail konfigurasi di pusat admin Microsoft Entra. Anda memerlukan beberapa detail dari konfigurasi ini untuk menyelesaikan langkah berikutnya.

  1. Telusuri ke Global Secure Access>Connect>Jaringan Jarak Jauh.

  2. Di kolom terakhir di sebelah kanan dalam tabel, pilih Tampilkan konfigurasi untuk jaringan jarak jauh yang Anda buat. Konfigurasi muncul sebagai blob JSON.

  3. Temukan dan simpan alamat IP publik Microsoft endpoint, asn, dan bgpAddress dari panel yang terbuka.

    Cuplikan layar yang memperlihatkan panel konfigurasi tampilan.

Diagram berikut menyambungkan detail utama detail konfigurasi ini ke peran korelasinya dalam jaringan jarak jauh yang disimulasikan. Deskripsi teks diagram mengikuti gambar.

Diagram konfigurasi jaringan jarak jauh dan di mana detail berkorelasi dengan jaringan.

Pusat diagram menggambarkan grup sumber daya yang berisi komputer virtual yang terhubung ke jaringan virtual. Gateway jaringan virtual kemudian tersambung ke gateway jaringan lokal melalui koneksi VPN redundan situs-ke-situs.

Cuplikan layar yang menunjukkan detail konektivitas memiliki dua bagian yang disorot. Bagian pertama yang disorot di bawah localConfigurations berisi detail gateway Akses Aman Global, yang merupakan gateway jaringan lokal Anda.

Gateway Jaringan Lokal 1

  • Alamat IP publik/titik akhir: 120.x.x.76
  • ASN: 65476
  • Alamat IP BGP/bgpAddress: 192.168.1.1

Gateway Jaringan Lokal 2

  • Alamat IP publik/titik akhir: 4.x.x.193
  • ASN: 65476
  • Alamat IP BGP/bgpAddress: 192.168.1.2

Bagian kedua yang disorot di bawah peerConfiguration berisi detail gateway jaringan virtual, yang merupakan peralatan router lokal Anda.

Virtual Network Gateway

  • Alamat IP publik/titik akhir: 20.x.x.1
  • ASN: 65533
  • Alamat IP BGP: 10.1.1.1

Panggilan lain menunjuk ke jaringan virtual yang Anda buat di grup sumber daya Anda. Ruang alamat untuk jaringan virtual adalah 10.2.0.0/16. Alamat BGP lokal dan alamat BGP rekan tidak boleh berada di ruang alamat yang sama.

Buat gateway jaringan lokal

Buat gateway jaringan lokal di portal Azure. Anda memerlukan beberapa detail dari konfigurasi jaringan jarak jauh, termasuk titik akhir gateway Microsoft, ASN, dan alamat BGP, untuk menyelesaikan langkah ini.

Jika Anda memilih Tidak redundansi saat membuat tautan perangkat di pusat admin Microsoft Entra, buat satu gateway jaringan lokal.

Jika Anda memilih Redundansi zona, buat dua gateway jaringan lokal. Anda memiliki dua set endpoint, asn, dan bgpAddress di localConfigurations untuk tautan perangkat. Di Pusat Admin Microsoft Entra, detail Konfigurasi Tampilan untuk jaringan jarak jauh tersebut menyediakan informasi berikut.

  1. Dari portal Azure, telusuri ke gateway jaringan Local.

  2. Pilih Buat.

  3. Pilih Grup sumber daya Anda (misalnya, Network_Simulation).

  4. Pilih wilayah yang sesuai.

  5. Berikan Nama gateway jaringan lokal Anda.

  6. Untuk Endpoint, pilih alamat IP, lalu berikan alamat IP endpoint dari pusat admin Microsoft Entra.

  7. Pilih Berikutnya: Tingkat Lanjut.

  8. Atur Konfigurasikan BGP ke Ya.

  9. Masukkan nomor sistem Otonom (ASN) dari bagian localConfigurationsLihat detail konfigurasi .

  10. Masukkan alamat IP rekan BGP dari bagian localConfigurations pada rincian Lihat konfigurasi.

    Cuplikan layar bidang ASN dan BGP dalam proses gateway jaringan lokal.

  11. Pilih Tinjau + buat dan konfirmasi pengaturan Anda.

  12. Pilih Buat.

Jika Anda mengonfigurasi redundansi zona saat membuat tautan perangkat (yang menyediakan dua set titik akhir gateway Microsoft), ulangi langkah-langkah ini untuk membuat gateway jaringan lokal kedua dengan menggunakan set titik akhir kedua, ASN, dan nilai alamat BGP.

Buka Konfigurasi untuk meninjau detail gateway jaringan lokal Anda.

Screenshot portal Azure memperlihatkan pengaturan konfigurasi untuk gateway jaringan lokal.

Membuat koneksi VPN situs-ke-situs (S2S)

Buat koneksi VPN situs-ke-situs di portal Azure. Jika Anda mengonfigurasi redundansi zona, buat dua koneksi: satu untuk gateway utama dan satu untuk sekunder. Pertahankan semua pengaturan ke nilai default kecuali diberitahukan.

  1. Dari portal Azure, telusuri ke Koneksi.
  2. Pilih Buat.
  3. Pilih Grup sumber daya Anda (misalnya, Network_Simulation).
  4. Di bawah Jenis koneksi, pilih Situs-ke-situs (IPsec).
  5. Masukkan Nama untuk koneksi, dan pilih Wilayah yang sesuai.
  6. Pilih Berikutnya: Pengaturan.
  7. Pilih Gateway jaringan virtual dan Gateway jaringan lokal Anda.
  8. Masukkan kunci Shared (PSK) yang sama yang Anda konfigurasikan untuk tautan perangkat di konfigurasi jaringan jarak jauh pusat admin Microsoft Entra.
  9. Centang kotak untuk Aktifkan BGP.
  10. Pilih Tinjau dan buat. Konfirmasi pengaturan Anda.
  11. Pilih Buat.

Ulangi langkah-langkah ini untuk membuat koneksi lain dengan gateway jaringan lokal kedua.

Screenshot dari Azure portal yang menunjukkan pengaturan konfigurasi untuk koneksi situs-ke-situs.

Verifikasi konektivitas

Untuk memverifikasi konektivitas, Anda perlu mensimulasikan arus lalu lintas. Salah satu metodenya adalah membuat komputer virtual (VM) untuk memulai lalu lintas.

Mensimulasikan lalu lintas dengan komputer virtual

Untuk mensimulasikan lalu lintas dan memverifikasi konektivitas, buat VM di jaringan virtual dan mulai lalu lintas ke layanan Microsoft. Biarkan semua pengaturan diatur ke nilai default kecuali dinyatakan.

  1. Dari portal Azure, telusuri ke Komputer virtual.
  2. Pilih Buatlah>Azure mesin virtual.
  3. Pilih Grup sumber daya Anda (misalnya, Network_Simulation).
  4. Berikan nama Komputer virtual.
  5. Pilih gambar yang ingin Anda gunakan. Untuk contoh ini, pilih Windows 11 Pro, versi 22H2 - x64 Gen2.
  6. Pilih Jalankan dengan diskon Azure Spot untuk pengujian ini.
  7. Berikan Nama Pengguna dan Kata Sandi untuk VM Anda.
  8. Konfirmasikan bahwa Anda memiliki lisensi Windows 10 atau 11 yang memenuhi syarat dengan hak hosting multipenyewa di bagian bawah halaman.
  9. Pindah ke tab Jaringan .
  10. Pilih Jaringan virtual Anda.
  11. Pindahkan ke tab Manajemen .
  12. Centang kotak Login dengan Microsoft Entra ID.
  13. Pilih Tinjau dan buat. Konfirmasi pengaturan Anda.
  14. Pilih Buat.

Anda dapat memilih untuk mengunci akses jarak jauh ke grup keamanan jaringan hanya ke jaringan atau IP tertentu.

Hindari perutean asimetris saat menyambungkan ke komputer virtual di jaringan jarak jauh

Saat Anda menyambungkan komputer virtual (VM) Azure ke jaringan jarak jauh Akses Aman Global, Anda tidak dapat menggunakan Desktop Jauh Protocol (RDP) as-is untuk menyambungkan ke VM dengan menggunakan alamat IP publiknya. Jika Anda memutuskan sambungan jaringan jarak jauh, RDP berfungsi lagi. Routing asimetris menyebabkan perilaku ini dan memang diharapkan.

Inilah sebabnya mengapa hal itu terjadi: VM memiliki alamat IP publik, jadi lalu lintas RDP masuk (paket SYN) dari PC Anda mencapai VM secara langsung. Namun, karena Akses Aman Global mengiklankan seluruh rentang alamat internet, lalu lintas pengembalian VM (SYN-ACK) dirutekan melalui terowongan IPsec menuju Akses Aman Global. Akses Aman Global menerima SYN-ACK untuk sesi tanpa SYN yang sesuai, sehingga menghilangkan paket dan koneksi gagal. Kondisi ini membuat alamat IP publik VM tidak dapat digunakan untuk koneksi masuk.

Solusi sementara

Untuk menghindari masalah perutean asimetris dengan jaringan jarak jauh, gunakan salah satu pemecahan masalah berikut:

  • Gunakan Azure Bastion

    Azure Bastion menghilangkan perutean asimetris dalam skenario manajemen jarak jauh seperti RDP. Dengan menggunakan Bastion, PC Anda terhubung ke layanan Bastion melalui HTTPS, dan Bastion memulai sesi RDP ke VM dengan menggunakan alamat IP privatnya. VM merespons langsung ke Bastion dalam jaringan virtual. Karena kedua arah koneksi tetap berada di dalam jaringan virtual, lalu lintas tidak pernah melewati gateway Global Secure Access, dan perutean tetap simetris.

  • Gunakan VPN titik-ke-situs (P2S) dengan VNG Anda

    Jika Anda mengonfigurasi gateway jaringan virtual (VNG) untuk konektivitas point-to-site (P2S), perangkat klien Anda menerima alamat IP privat dari kumpulan alamat VNG dengan menggunakan Klien VPN Azure. Semua lalu lintas ke VM mengalir melalui terowongan VNG dan kembali dengan cara yang sama, menjaga agar pengarahan tetap simetris.

Memverifikasi status konektivitas

Setelah Anda membuat jaringan dan koneksi jarak jauh, mungkin perlu waktu beberapa menit agar koneksi dibuat. Dari portal Azure, Anda dapat memvalidasi bahwa terowongan VPN terhubung dan bahwa peering BGP berhasil.

  1. Di portal Azure, telusuri gateway jaringan virtual yang Anda buat dan pilih Koneksi.
  2. Setiap koneksi menunjukkan StatusTersambung setelah konfigurasi diterapkan dan berhasil.
  3. Telusuri ke peering BGP di bawah bagian Pemantauan untuk mengonfirmasi bahwa peering BGP berhasil. Cari alamat rekan sejawat yang disediakan oleh Microsoft. Setelah konfigurasi diterapkan dan berhasil, Status menunjukkan Tersambung.

Cuplikan layar memperlihatkan cara menemukan status koneksi untuk gateway jaringan virtual Anda.

Anda dapat menggunakan komputer virtual yang Anda buat untuk memvalidasi bahwa lalu lintas mengalir ke layanan Microsoft. Menelusuri sumber daya di SharePoint atau Exchange Online akan mengakibatkan lalu lintas di gateway jaringan virtual Anda. Anda dapat melihat lalu lintas ini dengan menelusuri metrik di gateway jaringan virtual atau dengan Mengonfigurasi pengambilan paket untuk gateway VPN.

Tips

Jika Anda menggunakan artikel ini untuk menguji Akses Internet Microsoft Entra, bersihkan semua sumber daya Azure terkait dengan menghapus grup sumber daya baru setelah Selesai.

Langkah berikutnya

  • Last updated on