Implementere kryptering over ExpressRoute

  • 7 minutter

Distribuer Azure Virtual WAN for å etablere en IPsec/IKE VPN-tilkobling fra det lokale nettverket til Azure over privat node av en Azure ExpressRoute-krets. Denne teknikken kan gi en kryptert transitt mellom lokale nettverk og virtuelle Azure-nettverk over ExpressRoute, uten å gå over det offentlige Internett eller bruke offentlige IP-adresser.

Topologi og ruting

diagram som viser et eksempel på Azure Express Route Topology og ruting.

Diagrammet viser et nettverk i det lokale nettverket som er koblet til Azure Hub VPN-gatewayen over ExpressRoute private peering. Tilkoblingsetableringen er enkel:

  1. Opprett ExpressRoute-tilkobling med en ExpressRoute-krets og privat node.
  2. Opprett VPN-tilkoblingen som beskrevet i eksemplet.

Et viktig aspekt ved denne konfigurasjonen er ruting mellom lokale nettverk og Azure over både ExpressRoute- og VPN-banene.

Trafikk fra lokale nettverk til Azure

For trafikk fra lokale nettverk til Azure annonseres Azure-prefiksene (inkludert den virtuelle huben og alle de talte virtuelle nettverkene som er koblet til huben) via både ExpressRoute private peering BGP og VPN BGP. Dette resulterer i to nettverksruter (baner) mot Azure fra de lokale nettverkene:

  • Én over den IPsec-beskyttede banen
  • Én direkte over ExpressRoute uten IPsec-beskyttelse

Hvis du vil bruke kryptering på kommunikasjonen, må du sørge for at azure-rutene via lokal VPN-gateway foretrekkes via den direkte ExpressRoute-banen for å bruke kryptering på kommunikasjonen.

Trafikk fra Azure til lokale nettverk

Det samme kravet gjelder for trafikken fra Azure til lokale nettverk. Hvis du vil sikre at IPsec-banen foretrekkes fremfor den direkte ExpressRoute-banen (uten IPsec), har du to alternativer:

Annonser mer spesifikke prefikser på VPN BGP-økten for det VPN-tilkoblede nettverket. Du kan annonsere et større område som omfatter vpn-tilkoblet nettverk via ExpressRoute privat node, deretter mer spesifikke områder i VPN BGP-økten. Annonser for eksempel 10.0.0.0/16 over ExpressRoute og 10.0.1.0/24 over VPN.

Annonser disjoint-prefikser for VPN og ExpressRoute. Hvis vpn-tilkoblede nettverksområder er usammenhengende fra andre ExpressRoute-tilkoblede nettverk, kan du annonsere prefiksene i henholdsvis VPN- og ExpressRoute BGP-økter. Annonser for eksempel 10.0.0.0/24 over ExpressRoute og 10.0.1.0/24 over VPN.

I begge disse eksemplene sender Azure trafikk til 10.0.1.0/24 over VPN-tilkoblingen i stedet for direkte over ExpressRoute uten VPN-beskyttelse.

Før du begynner

Før du starter konfigurasjonen, må du kontrollere at du oppfyller følgende kriterier:

  • Hvis du allerede har et virtuelt nettverk du vil koble til, må du kontrollere at ingen av delnettene i det lokale nettverket overlapper med det. Det virtuelle nettverket krever ikke et gateway-delnett og kan ikke ha noen virtuelle nettverksgatewayer. Hvis du ikke har et virtuelt nettverk, kan du opprette et ved hjelp av fremgangsmåten i denne artikkelen.
  • Få et IP-adresseområde for hubområdet. Huben er et virtuelt nettverk, og adresseområdet du angir for hubområdet, kan ikke overlappe med et eksisterende virtuelt nettverk som du kobler til. Den kan heller ikke overlappe med adresseområdene du kobler til lokalt. Hvis du ikke er kjent med IP-adresseområder som er plassert i den lokale nettverkskonfigurasjonen, kan du koordinere med noen som kan oppgi disse detaljene for deg.
  • Hvis du ikke har et Azure-abonnement, kan du opprette en gratis konto før du begynner.

1. Opprett en virtuell WAN og hub med gatewayer

Følgende Azure-ressurser og tilsvarende lokale konfigurasjoner må være på plass før du fortsetter:

  • En azure virtuell WAN.
  • En virtuell WAN-hub med en ExpressRoute og en virtuell privat nettverksgateway.

2. Opprette et område for det lokale nettverket

Områderessursen er den samme som vpn-områdene som ikke er ExpressRoute for en virtuell WAN. IP-adressen til den lokale VPN-enheten kan nå være enten en privat IP-adresse eller en offentlig IP-adresse i det lokale nettverket som kan nås via den tidligere opprettede expressroute private nodekonfigurasjonen.

  1. Gå til Ditt virtuelle WAN-, VPN- nettsteder og opprett et nettsted for det lokale nettverket. Husk følgende innstillingsverdier:

    • Border Gateway Protocol: Velg «Aktiver» hvis det lokale nettverket bruker BGP.
    • Privat adresseområde: Skriv inn IP-adresseområdet som er plassert på det lokale nettstedet. Trafikk som er bestemt for dette adresseområdet, rutes til det lokale nettverket via VPN-gatewayen.

  2. Velg Koblinger for å legge til informasjon om de fysiske koblingene. Husk følgende innstillingsinformasjon:

    • Leverandørnavn: Navnet på Internett-leverandøren for dette området. For et lokalt ExpressRoute-nettverk er det navnet på ExpressRoute-tjenesteleverandøren.
    • Hastighet: Hastigheten på Internett-tjenestekoblingen eller ExpressRoute-kretsen.
    • IP-adresse: Den offentlige IP-adressen til VPN-enheten som befinner seg på det lokale nettstedet. Eller for ExpressRoute lokalt er det den private IP-adressen til VPN-enheten via ExpressRoute.
    • Hvis BGP er aktivert, gjelder det for alle tilkoblinger som er opprettet for dette området i Azure. Konfigurering av BGP på en virtuell WAN tilsvarer konfigurering av BGP på en Azure VPN-gateway.
    • Den lokale BGP-nodeadressen må ikke være den samme som IP-adressen til VPN-en til enheten eller det virtuelle nettverksadresseområdet på VPN-nettstedet. Bruk en annen IP-adresse på VPN-enheten for BGP-node-IP-en. Det kan være en adresse som er tilordnet tilbakekoblingsgrensesnittet på enheten. Det kan imidlertid ikke være en APIPA (169.254.x.x) adresse. Angi denne adressen på det tilsvarende VPN-området som representerer plasseringen.

  3. Velg Neste: Se gjennom + opprett for å kontrollere innstillingsverdiene og opprette VPN-nettstedet, og opprett nettstedet.

  4. Deretter kobler du området til huben. Det kan ta opptil 30 minutter å oppdatere gatewayen.

3. Oppdater VPN-tilkoblingsinnstillingen for å bruke ExpressRoute

Når du har opprettet VPN-nettstedet og koblet til huben, kan du bruke følgende fremgangsmåte for å konfigurere tilkoblingen til å bruke expressroute privat node:

  1. Gå til den virtuelle huben. Du kan enten gjøre dette ved å gå til Virtual WAN og velge huben for å åpne hubsiden, eller du kan gå til den tilkoblede virtuelle huben fra VPN-nettstedet.

  2. Velg VPN (område-til-område)under Tilkobling.

  3. Velg ellipsen (...) eller høyreklikk VPN-området over ExpressRoute, og velg Rediger VPN-tilkobling til denne huben.

  4. Gå til Grunnleggende-siden, og la standardinnstillingene være.

  5. Konfigurer følgende innstillinger på siden Koblingstilkobling 1:

    • Hvis du vil ha Bruke Azure Private IP Address, velger du Ja. Innstillingen konfigurerer VPN-gatewayen for hub til å bruke private IP-adresser innenfor hubadresseområdet på gatewayen for denne tilkoblingen, i stedet for de offentlige IP-adressene. Dette sikrer at trafikken fra det lokale nettverket krysser expressroutes private nodebaner i stedet for å bruke offentlig Internett for denne VPN-tilkoblingen.

  6. Klikk Opprett for å oppdatere innstillingene. Når innstillingene er opprettet, vil VPN-gatewayen for huben bruke de private IP-adressene på VPN-gatewayen til å etablere IPsec/IKE-tilkoblinger med den lokale VPN-enheten over ExpressRoute.

4. Få de private IP-adressene for VPN-gatewayen for huben

Last ned VPN-enhetskonfigurasjonen for å få de private IP-adressene til VPN-gatewayen for huben. Du trenger disse adressene for å konfigurere den lokale VPN-enheten.

  1. Velg VPN (område-til-område) under Tilkoblingpå siden for huben.
  2. Velg Last ned VPN Configøverst på siden Oversikt . Azure oppretter en lagringskonto i ressursgruppen «microsoft-network–[location]», der plassering er plasseringen til WAN. Når du har brukt konfigurasjonen på VPN-enhetene dine, kan du slette denne lagringskontoen.
  3. Når filen er opprettet, velger du koblingen for å laste den ned.
  4. Bruk konfigurasjonen på VPN-enheten.

Konfigurasjonsfil for VPN-enhet

Enhetskonfigurasjonsfilen inneholder innstillingene som skal brukes når du konfigurerer den lokale VPN-enheten. Når du viser denne filen, kan du legge merke til følgende informasjon:

  • vpnSiteConfiguration: Denne delen angir konfigurasjonen av enhetsdetaljer som et nettsted som kobler til den virtuelle WAN. Den inneholder navnet og den offentlige IP-adressen til grenenheten.

  • vpnSiteConnections: Denne delen gir informasjon om følgende innstillinger:

    • Adresseplass for den virtuelle hubens virtuelle nettverk.
      Eksempel: "AddressSpace":"10.51.230.0/24"
    • Adresseplass for de virtuelle nettverkene som er koblet til huben.
      Eksempel: "ConnectedSubnets":["10.51.231.0/24"]
    • IP-adresser for vpn-gatewayen til den virtuelle huben. Siden hver tilkobling av VPN-gatewayen består av to tunneler i aktiv konfigurasjon, ser du begge IP-adressene som er oppført i denne filen. I dette eksemplet ser du Forekomst0 og Forekomst1 for hvert område, og de er private IP-adresser i stedet for offentlige IP-adresser.
      Eksempel: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Konfigurasjonsdetaljer for VPN-gatewaytilkoblingen, for eksempel BGP og forhåndsdelt nøkkel. Den forhåndsdelte nøkkelen genereres automatisk for deg. Du kan alltid redigere tilkoblingen på Oversikt-siden for en egendefinert forhåndsdelt nøkkel.

Konfigurere VPN-enheten

Hvis du trenger instruksjoner for å konfigurere enheten, kan du bruke instruksjonene på siden konfigurasjonsskript for VPN-enheter med følgende advarsler:

  • Instruksjonene på VPN-enhetssiden er ikke skrevet for en virtuell WAN. Du kan imidlertid bruke de virtuelle WAN-verdiene fra konfigurasjonsfilen til å konfigurere VPN-enheten manuelt.
  • De nedlastbare enhetskonfigurasjonsskriptene som er for VPN-gatewayen, fungerer ikke for den virtuelle WAN, fordi konfigurasjonen er forskjellig.
  • En ny virtuell WAN kan støtte både IKEv1 og IKEv2.
  • En virtuell WAN kan bare bruke rutebaserte VPN-enheter og enhetsinstruksjoner.

5. Vis din virtuelle WAN

  1. Gå til den virtuelle WAN.
  2. På siden Oversikt representerer hvert punkt på kartet en hub.
  3. I delen huber og tilkoblinger kan du vise tilkoblingsstatus for hub, område, område og VPN. Du kan også vise byte inn og ut.

6. Overvåk en tilkobling

Opprett en tilkobling for å overvåke kommunikasjon mellom en virtuell Azure-maskin (VM) og et eksternt område.