Merencanakan dan menerapkan Virtual Wide Area Network, termasuk hub virtual aman

  • 7 menit

Virtual WAN tersambung ke sumber daya Anda di Azure melalui koneksi VPN IPsec/IKE (IKEv1 dan IKEv2). Jenis koneksi ini memerlukan perangkat VPN yang terletak di tempat yang memiliki alamat IP publik yang menghadap luar yang telah ditetapkan untuknya.

Diagram memperlihatkan koneksi jaringan area luas virtual situs ke situs.

Prasyarat

  • Pastikan Anda memiliki langganan Azure. Jika Anda belum memiliki langganan Azure, Anda dapat mengaktifkan manfaat pelanggan MSDN atau mendaftar untuk akun gratis.
  • Tentukan rentang alamat IP yang ingin Anda gunakan untuk ruang alamat privat hub virtual Anda. Informasi ini digunakan saat mengonfigurasi hub virtual Anda. Hub virtual adalah jaringan virtual yang dibuat dan digunakan oleh Virtual WAN. Ini adalah inti dari jaringan Virtual WAN Anda di suatu wilayah. Rentang ruang alamat harus sesuai dengan aturan tertentu.
    • Rentang alamat yang Anda tentukan untuk hub tidak dapat tumpang tindih dengan jaringan virtual apa pun yang anda sambungkan.
    • Rentang alamat tidak boleh tumpang tindih dengan rentang alamat lokal yang Anda sambungkan.
    • Jika tidak terbiasa dengan rentang alamat IP yang terletak di konfigurasi jaringan lokal, koordinasikan dengan seseorang yang dapat memberikan detail tersebut untuk Anda.

portal Azure atau Azure PowerShell

Anda dapat menggunakan cmdlet portal Azure atau Azure PowerShell untuk membuat koneksi situs-ke-situs ke Azure Virtual WAN. Cloud Shell adalah shell interaktif gratis yang memiliki alat Azure umum yang telah diinstal sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.

Untuk membuka Cloud Shell, cukup pilih Buka Cloud Shell dari sudut kanan atas blok kode. Anda juga dapat membuka Cloud Shell di tab browser terpisah dengan membuka https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan kode ke Cloud Shell, dan pilih tombol Enter untuk menjalankannya.

Anda juga dapat menginstal dan menjalankan cmdlet Azure PowerShell secara lokal di komputer Anda. Cmdlet PowerShell sering diperbarui. Jika Anda belum menginstal versi terbaru, nilai yang ditentukan dalam instruksi mungkin gagal. Untuk menemukan versi Azure PowerShell yang terinstal di komputer Anda, gunakan Get-Module -ListAvailable Az cmdlet.

Masuk

Jika Anda menggunakan Azure Cloud Shell , Anda akan secara otomatis diarahkan untuk masuk ke akun Anda setelah membuka Cloud Shell. Anda tidak perlu menjalankan Connect-AzAccount. Setelah masuk, Anda masih dapat mengubah langganan jika perlu dengan menggunakan Get-AzSubscriptiondan Select-AzSubscription.

Jika Anda menjalankan PowerShell secara lokal, buka konsol PowerShell dengan hak istimewa tambahan dan sambungkan ke akun Azure Anda. Cmdlet Connect-AzAccount meminta info masuk Anda. Setelah diautentikasi, pengaturan akun Anda diunduh sehingga tersedia untuk Azure PowerShell. Anda dapat mengubah langganan dengan menggunakan Get-AzSubscriptiondan Select-AzSubscription -SubscriptionName "Name of subscription".

Membuat virtual WAN

Sebelum Anda dapat membuat wan virtual, Anda harus membuat grup sumber daya untuk meng-host wan virtual atau menggunakan grup sumber daya yang ada. Gunakan salah satu contoh berikut.

Contoh ini membuat grup sumber daya baru bernama TestRG di lokasi US Timur. Jika Anda ingin menggunakan grup sumber daya yang ada, Anda dapat mengubah $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup"perintah, lalu menyelesaikan langkah-langkah dalam latihan ini menggunakan nilai Anda sendiri.

  1. Buat grup sumber daya.

    New-AzResourceGroup -Location "East US" -Name "TestRG"

  2. Buat wan virtual menggunakan cmdlet New-AzVirtualWan.

    $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"

Membuat hub dan mengonfigurasi pengaturan hub

Hub adalah jaringan virtual yang dapat berisi gateway untuk fungsionalitas site-to-site, ExpressRoute, atau point-to-site. Buat hub virtual dengan New-AzVirtualHub. Contoh ini membuat hub virtual default bernama Hub1 dengan awalan alamat yang ditentukan dan lokasi untuk hub.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

Membuat gateway VPN situs-ke-situs

Di bagian ini, Anda membuat gateway VPN situs-ke-situs di lokasi yang sama dengan hub virtual yang dirujuk. Saat membuat gateway VPN, Anda menentukan unit skala yang Anda inginkan. Dibutuhkan sekitar 30 menit untuk membuat gateway.

  1. Jika Anda menutup Azure Cloud Shell atau koneksi Anda kehabisan waktu, Anda mungkin perlu mendeklarasikan variabel lagi untuk $virtualHub.

    $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"

  2. Buat gateway VPN menggunakan cmdlet New-AzVpnGateway.

    New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2

  3. Setelah gateway VPN dibuat, Anda dapat menampilkannya menggunakan contoh berikut.

    Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

Membuat situs dan koneksi

Di bagian ini, Anda membuat situs yang sesuai dengan lokasi fisik dan koneksi Anda. Situs ini berisi titik akhir perangkat VPN lokal, Anda dapat membuat hingga 1000 situs per hub virtual dalam WAN virtual. Jika memiliki beberapa hub, Anda dapat membuat 1000 per masing-masing hub tersebut.

  1. Atur variabel untuk gateway VPN dan ruang alamat IP yanfg berada di situs lokal Anda. Lalu lintas yang ditujukan untuk ruang alamat ini dirutekan ke situs lokal Anda. Hal ini diperlukan ketika BGP tidak diaktifkan untuk situs.

    $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSiteAddressSpaces = New-Object string[] 2
$vpnSiteAddressSpaces[0] = "192.168.2.0/24"
$vpnSiteAddressSpaces[1] = "192.168.3.0/24"

  2. Buat tautan untuk menambahkan informasi tentang tautan fisik di cabang termasuk metadata tentang kecepatan tautan, nama penyedia tautan, dan alamat IP publik perangkat lokal.

    $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"

$vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"

  3. Buat situs VPN, referensikan variabel tautan situs VPN yang baru saja Anda buat. Jika Anda menutup Azure Cloud Shell atau koneksi Anda kehabisan waktu, buat ulang variabel WAN virtual:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"

    Buat situs VPN menggunakan cmdlet New-AzVpnSite.

    $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)

  4. Buat koneksi tautan situs. Koneksi terdiri dari dua terowongan aktif-aktif dari cabang/situs ke gateway yang dapat diskalakan.

    $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100

$vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10

Menyambungkan situs VPN ke hub

  1. Sebelum menjalankan perintah, Anda mungkin perlu mendeklarasi ulang variabel berikut:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"

  2. Koneksi situs VPN ke hub.

    New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)

Koneksi VNet ke hub Anda

Langkah selanjutnya adalah menyambungkan hub ke VNet. Jika Anda membuat grup sumber daya baru untuk latihan ini, Anda biasanya belum memiliki jaringan virtual (VNet) di grup sumber daya Anda. Langkah-langkah di bawah ini membantu Anda membuat VNet jika Anda belum memilikinya. Anda kemudian dapat membuat koneksi antara hub dan VNet Anda.

Membuat jaringan virtual

Anda dapat menggunakan contoh nilai berikut untuk membuat VNet. Pastikan untuk mengganti nilai dalam contoh untuk nilai yang Anda gunakan untuk lingkungan Anda.

  1. Membuat VNet.

    $vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet

  2. Tentukan pengaturan subnet.

    $subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

  3. Atur VNet.

    $virtualNetwork | Set-AzVirtualNetwork

Menyambungkan VNet ke hub

Langkah-langkah berikut memungkinkan Anda menyambungkan jaringan virtual ke hub virtual menggunakan PowerShell. Anda juga dapat menggunakan portal Azure untuk menyelesaikan tugas ini. Ulangi langkah-langkah ini untuk setiap VNet yang ingin Anda sambungkan.

Sebelum Anda membuat koneksi, ketahui hal berikut:

  • Jaringan virtual hanya dapat dihubungkan ke satu hub virtual dalam satu waktu.
  • Untuk menyambungkannya ke hub virtual, jaringan virtual jarak jauh tidak boleh memiliki gateway.
  • Beberapa pengaturan konfigurasi, seperti Menyebarkan rute statis, hanya dapat dikonfigurasi di portal Azure saat ini.

Jika gateway VPN ada di hub virtual, operasi ini serta operasi tulis lainnya pada VNet yang terhubung dapat menyebabkan pemutusan sambungan ke klien titik-ke-situs serta koneksi kembali terowongan situs-ke-situs dan sesi Border Gateway Protocol (BGP ).

Menambahkan sambungan

  1. Deklarasikan variabel untuk sumber daya yang ada, termasuk jaringan virtual yang ada.

    $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"

  2. Buat koneksi untuk mengintip jaringan virtual ke hub virtual.

    New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork

Mengonfigurasi perangkat VPN

Mengunduh konfigurasi VPN

Gunakan konfigurasi perangkat VPN untuk mengonfigurasi perangkat VPN lokal Anda. Berikut adalah langkah-langkah dasarnya:

  1. Dari halaman Virtual WAN Anda, buka hub -Halaman hub virtual ->VPN (Situs ke situs) Anda.>
  2. Di bagian atas halaman VPN (Situs ke situs) , klik Unduh Konfigurasi VPN. Anda akan melihat serangkaian pesan saat Azure membuat akun penyimpanan baru di grup sumber daya 'microsoft-network-[location]', di mana lokasi adalah lokasi WAN. Anda juga dapat menambahkan akun penyimpanan yang ada dengan mengklik "Gunakan yang Sudah Ada" dan menambahkan URL SAS yang valid dengan izin tulis diaktifkan.
  3. Setelah file selesai dibuat, klik link untuk mengunduh file. Ini membuat file baru dengan konfigurasi VPN di lokasi url SAS yang disediakan.
  4. Terapkan konfigurasi ke perangkat VPN lokal Anda. Untuk informasi selengkapnya, lihat Konfigurasi perangkat VPN di bagian ini.
  5. Setelah menerapkan konfigurasi ke perangkat VPN, Anda tidak diharuskan untuk menyimpan akun penyimpanan yang Anda buat.
    • Ruang alamat jaringan virtual hub virtual.
      • Contoh:
        • "AddressSpace":"10.1.0.0/24"
    • Ruang alamat jaringan virtual yang terhubung ke hub virtual.
      • Contoh:
        • "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
    • Ruang alamat IP vpngateway hub virtual. Karena setiap koneksi vpngateway terdiri dari dua terowongan dalam konfigurasi aktif-aktif, Anda akan melihat kedua alamat IP tercantum dalam file ini. Dalam contoh ini, Anda akan melihat "Instance0" dan "Instance1" untuk setiap situs.
      • Contoh:
        • "Instance0":"nnn.nn.nn.nnn"
        • "Instance1":"nnn.nn.nn.nnn"
    • Alamat IP Publik: Ditetapkan oleh Azure.
    • Alamat IP Privat: Ditetapkan oleh Azure.
    • Alamat IP BGP default: Ditetapkan oleh Azure.
    • Alamat IP BGP kustom: Bidang ini disediakan untuk APIPA (Automatic Private IP Addressing). Azure mendukung IP BGP dalam rentang 169.254.21.* dan 169.254.22.*. Azure menerima koneksi BGP dalam rentang ini tetapi akan memanggil koneksi dengan IP BGP default. Pengguna dapat menentukan beberapa alamat IP BGP kustom untuk setiap instans. Alamat IP BGP kustom yang sama tidak boleh digunakan untuk kedua instans.

File konfigurasi perangkat VPN

File konfigurasi perangkat berisi pengaturan yang akan digunakan saat mengonfigurasi perangkat VPN lokal Anda. Saat Anda menampilkan file ini, perhatikan informasi berikut:

  • vpnSiteConfiguration - Bagian ini menunjukkan detail perangkat yang disiapkan sebagai situs yang terhubung ke WAN virtual. Ini termasuk nama dan alamat IP publik perangkat cabang.

vpnSiteConnections - Bagian ini menyediakan informasi tentang pengaturan berikut:

  • Detail konfigurasi koneksi Vpngateway seperti BGP, kunci yang telah dibagikan sebelumnya, dll. PSK adalah kunci preshared yang secara otomatis dihasilkan untuk Anda. Anda selalu dapat mengedit koneksi di halaman Gambaran Umum untuk Kunci Pra-Berbagi (PSK) kustom.

Contoh file konfigurasi perangkat

{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }

Mengonfigurasi perangkat VPN Anda

Catatan

Jika Anda bekerja dengan solusi mitra Virtual WAN, konfigurasi perangkat VPN otomatis berlaku. Pengontrol perangkat memperoleh file konfigurasi dari Azure dan diterapkan ke perangkat untuk menyiapkan koneksi ke Azure. Artinya Anda tidak perlu mengetahui cara mengonfigurasi perangkat VPN secara manual.

Menampilkan atau mengedit pengaturan gateway

Anda dapat melihat dan mengedit pengaturan gateway VPN Anda kapan saja. Buka Hub Virtual Anda ->VPN (Situs ke situs) dan pilih Tampilkan/Konfigurasikan.

Cuplikan layar memperlihatkan cara menampilkan dan mengedit pengaturan gateway Virtual Private Network Anda dari halaman konfigurasi Hub Virtual.

Pada halaman Edit VPN Gateway, Anda dapat melihat pengaturan berikut ini:

Cuplikan layar memperlihatkan cara mengedit pengaturan gateway jaringan privat virtual.