Een site-naar-site-VPN configureren in vWAN voor Azure VMware Solution

In dit artikel leert u hoe u een VPN (IPsec IKEv1 en IKEv2) site-naar-site-tunnel afsluit in de Microsoft Azure Virtual WAN-hub tot stand brengt. De hub bevat de Azure VMware Solution ExpressRoute-gateway en de site-naar-site-VPN-gateway. Er wordt een on-premises VPN-apparaat verbonden met een Azure VMware Solution-eindpunt.

Vereisten

U moet een openbaar IP-adres hebben dat wordt beëindigd op een on-premises VPN-apparaat.

Een Azure Virtual WAN maken

1. Typ Virtual WAN in het zoekvak in de portal in de zoekbalk en selecteer Enter.

2. Selecteer Virtuele WAN's in de resultaten. Selecteer + Maken op de pagina Virtuele WAN's om de pagina WAN maken te openen.

3. Vul op de pagina WAN maken op het tabblad Basisbeginselen de velden in. Wijzig de voorbeeldwaarden die u wilt toepassen op uw omgeving.

   

   • Abonnement: selecteer het abonnement dat u wilt gebruiken.
   • Resourcegroep: Maak een nieuwe resourcegroep of gebruik bestaande.
   • Locatie van de resourcegroep: kies een resourcelocatie in de vervolgkeuzelijst. Een WAN is een globale resource en woont niet in een bepaalde regio. U moet echter een regio selecteren om de WAN-resource die u maakt te kunnen beheren en vinden.
   • Naam: typ de naam die u wilt aanroepen van uw virtuele WAN.
   • Type: Basic of Standard. Selecteer Standaard. Als u Basic selecteert, moet u begrijpen dat virtuele WAN's van Basic alleen Basic-hubs kunnen bevatten. Basishubs kunnen alleen worden gebruikt voor site-naar-site-verbindingen.

4. Nadat u klaar bent met het invullen van de velden, selecteert u Onder aan de pagina Controleren +Maken.

5. Zodra de validatie is geslaagd, klikt u op Maken om het virtuele WAN te maken.

Een virtuele hub maken

Een virtuele hub is een virtueel netwerk dat wordt gemaakt en gebruikt door Azure Virtual WAN. Dit vormt de kern van uw Virtual WAN-netwerk in een regio. Het kan gateways voor site-naar-site en ExpressRoute bevatten.

Tip

U kunt ook een gateway maken in een bestaande hub.

1. Ga naar het virtuele WAN dat u hebt gemaakt. Selecteer Hubs in het linkerdeelvenster van de virtuele WAN-pagina onder De connectiviteit.

2. Selecteer +New Hub op de pagina Hubs om de pagina Virtuele hub maken te openen.

   

3. Op de pagina Basisinstellingen van de pagina Virtuele hub maken vult u de volgende velden in:

   • Regio: Selecteer de regio waarin u de virtuele hub wilt implementeren.
   • Naam: de naam waarmee u de virtuele hub wilt weten.
   • Privé-adresruimte van de hub: het adresbereik van de hub in CIDR-notatie. De minimale adresruimte is /24 om een hub te maken.
   • Capaciteit van virtuele hub: Selecteer in de vervolgkeuzelijst. Zie Instellingen voor virtuele hubs voor meer informatie.
   • Voorkeur voor hubroutering: laat de instelling ongewijzigd, ExpressRoute , tenzij u dit veld specifiek moet wijzigen. Zie routeringsvoorkeur voor virtuele hubs voor meer informatie.

Een VPN-gateway maken

1. Klik op de pagina Virtuele hub maken op Site naar site om het tabblad Site naar site te openen .

   

2. Vul op het tabblad Site-naar-site de volgende velden in:

   • Selecteer Ja om een Site-naar-site VPN-verbinding te maken.

   • AS-nummer: het veld AS-getal kan niet worden bewerkt.

   • Gatewayschaaleenheden: selecteer de waarde van gatewayschaaleenheden in de vervolgkeuzelijst. Met de schaaleenheid kunt u de geaggregeerde doorvoer van de VPN-gateway kiezen die wordt gemaakt in de virtuele hub waarmee sites worden verbonden.

     Als u 1 schaaleenheid = 500 Mbps kiest, betekent dit dat er twee exemplaren voor redundantie worden gemaakt, elk met een maximale doorvoer van 500 Mbps. Als u bijvoorbeeld vijf vertakkingen hebt, die elk 10 Mbps aan de vertakking doen, hebt u een aggregaties van 50 Mbps nodig aan het hoofdeinde. Het plannen van de totale capaciteit van de Azure VPN-gateway moet worden uitgevoerd na het beoordelen van de capaciteit die nodig is om het aantal branches naar de hub te ondersteunen.

   • Routeringsvoorkeur: met azure-routeringsvoorkeur kunt u kiezen hoe uw verkeersroutes tussen Azure en internet worden gerouteerd. U kunt ervoor kiezen om verkeer te routeren via het Microsoft-netwerk of via het ISP-netwerk (openbaar internet). Deze opties worden ook wel koude aardappelroutering en hete aardappelroutering genoemd.

     Het openbare IP-adres in Virtual WAN wordt door de service toegewezen op basis van de geselecteerde routeringsoptie. Zie het artikel routeringsvoorkeur via microsoft-netwerk of internetprovider voor meer informatie over routeringsvoorkeur .

3. Selecteer Beoordelen en maken om de validatie uit te voeren.

4. Selecteer Maken om de hub en gateway te maken. Dit kan tot 30 minuten duren. Na 30 minuten selecteert u Vernieuwen om de hub op de pagina Hubs te bekijken. Selecteer Naar resource gaan om naar de resource te gaan.

Een site-naar-site VPN-verbinding maken

1. Selecteer in Azure Portal het virtuele WAN dat u eerder hebt gemaakt.

2. Selecteer in het overzicht van de virtuele hub connectiviteits-VPN>(site-naar-site)>Nieuwe VPN-site maken.

   

3. Voer op het tabblad Basisinformatie de vereiste velden in.

   

   • Regio - voorheen locatie genoemd. Dit is de locatie waarin u deze siteresource wilt maken.

   • Naam - de naam waarmee u naar uw on-premises site wilt verwijzen.

   • Apparaatleverancier : de naam van de LEVERANCIER van het VPN-apparaat, bijvoorbeeld Citrix, Cisco of Barracuda. Het helpt het Azure-team uw omgeving beter te begrijpen om in de toekomst meer optimalisatiemogelijkheden toe te voegen of u te helpen bij het oplossen van problemen.

   • Privéadresruimte: de CIDR-IP-adresruimte op uw on-premises site. Verkeer dat bestemd is voor deze adresruimte wordt doorgestuurd naar uw lokale site. Het CIDR-blok is alleen vereist als u BGP niet voor de site inschakelt.

   Notitie

   Als u de adresruimte bewerkt nadat u de site hebt gemaakt (bijvoorbeeld als u een extra adresruimte toevoegt), kan het 8-10 minuten duren om de efficiënte routes bij te werken terwijl de onderdelen opnieuw worden gemaakt.

4. Selecteer koppelingen om informatie over de fysieke koppelingen op de vertakking toe te voegen. Als u een CPE-apparaat van een Virtual WAN-partner hebt, neemt u contact met hen op om te zien of deze informatie wordt uitgewisseld met Azure als onderdeel van de upload van vertakkingsgegevens die zijn ingesteld vanuit hun systemen.

   Door koppelings- en providernamen op te geven, kunt u onderscheid maken tussen een willekeurig aantal gateways dat uiteindelijk kan worden gemaakt als onderdeel van de hub. BGP en autonoom systeemnummer (ASN) moeten uniek zijn binnen uw organisatie. BGP zorgt ervoor dat zowel Azure VMware Solution als de on-premises servers hun routes via de tunnel adverteren. Indien uitgeschakeld, moeten de subnetten die moeten worden geadverteerd, handmatig worden onderhouden. Als subnetten worden gemist, kan HCX de service-mesh niet vormen.

   Belangrijk

   Standaard wijst Azure automatisch een privé-IP-adres toe vanuit het voorvoegselbereik GatewaySubnet als het Azure BGP-IP-adres op de Azure VPN-gateway. Het aangepaste Azure APIPA BGP-adres is nodig wanneer uw on-premises VPN-apparaten een APIPA-adres (169.254.0.1 tot 169.254.255.254) gebruiken als het BGP-IP-adres. Azure VPN Gateway kiest het aangepaste APIPA-adres als de bijbehorende lokale netwerkgatewayresource (on-premises netwerk) een APIPA-adres heeft als het IP-adres van de BGP-peer. Als de lokale netwerkgateway een normaal IP-adres (niet APIPA) gebruikt, wordt azure VPN Gateway teruggezet naar het privé-IP-adres uit het gatewaysubnet-bereik.

   

5. Selecteer Controleren + maken.

6. Navigeer naar de gewenste virtuele hub en hef de selectie van hubkoppeling op om uw VPN-site te verbinden met de hub.

   

(Optioneel) Op beleid gebaseerde VPN-site-naar-site-tunnels maken

Belangrijk

Dit is een optionele stap en is alleen van toepassing op op beleid gebaseerde VPN's.

Voor OP beleid gebaseerde VPN-instellingen moeten on-premises en Azure VMware Solution-netwerken worden opgegeven, inclusief de hubbereiken. Deze bereiken geven het versleutelingsdomein van het on-premises EINDPUNT van de VPN-tunnel op basis van beleid op. Voor de zijde van Azure VMware Solution is alleen de indicator voor verkeersselector op basis van beleid vereist.

1. Ga in Azure Portal naar uw Virtual WAN-hubsite en selecteer onder Connectiviteit VPN (site-naar-site).

2. Selecteer de VPN-site waarvoor u een aangepast IPsec-beleid wilt instellen.

3. Selecteer de naam van uw VPN-site, selecteer helemaal rechts meer (...) en selecteer vervolgens VPN-verbinding bewerken.

   

   • IpSec (Internet Protocol Security), selecteer Aangepast.

   • Op beleid gebaseerde verkeerskiezer gebruiken, selecteer Inschakelen

   • Geef de details op voor IKE Fase 1 en IKE Fase 2(ipsec).

4. Wijzig de IPsec-instelling van standaard naar aangepast en pas het IPsec-beleid aan. Selecteer vervolgens Opslaan.

   

   Uw verkeersselectors of subnetten die deel uitmaken van het op beleid gebaseerde versleutelingsdomein, moeten zijn:

   • Virtual WAN-hub /24

   • Azure VMware Solution-privécloud /22

   • Verbonden virtueel Azure-netwerk (indien aanwezig)

Uw VPN-site verbinden met de hub

1. Selecteer de naam van uw VPN-site en selecteer vervolgens VPN-sites verbinden.

2. Voer in het veld Vooraf gedeelde sleutel de sleutel in die eerder is gedefinieerd voor het on-premises eindpunt.

   Tip

   Als u geen eerder gedefinieerde sleutel hebt, kunt u dit veld leeg laten. Er wordt automatisch een sleutel voor u gegenereerd.

   

3. Als u een firewall in de hub implementeert en dit de volgende hop is, stelt u de optie Standaardroute doorgeven in op Inschakelen.

   Wanneer deze optie is ingeschakeld, wordt de Virtual WAN-hub alleen doorgegeven aan een verbinding als de hub de standaardroute al heeft geleerd bij het implementeren van een firewall in de hub of als een andere verbonden site geforceerde tunneling is ingeschakeld. De standaardroute is niet afkomstig uit de Virtual WAN-hub.

4. Selecteer Verbinding maken. Na een paar minuten toont de site de verbindings- en connectiviteitsstatus.

   

   Verbindingsstatus: status van de Azure-resource voor de verbinding die de VPN-site verbindt met de VPN-gateway van de Azure-hub. Zodra deze besturingsvlakbewerking is geslaagd, maken de Azure VPN-gateway en het on-premises VPN-apparaat verbinding.

   Connectiviteitsstatus: Werkelijke connectiviteitsstatus (gegevenspad) tussen de VPN-gateway van Azure in de hub en de VPN-site. De status kan een van de volgende waarden hebben:

   • Onbekend: meestal gezien als de back-endsystemen werken om over te stappen naar een andere status.
   • Verbinding maken: Azure VPN-gateway probeert contact op te halen met de werkelijke on-premises VPN-site.
   • Verbonden: Connectiviteit tot stand gebracht tussen Azure VPN-gateway en on-premises VPN-site.
   • Verbinding verbroken: meestal gezien als de verbinding om welke reden dan ook is verbroken (on-premises of in Azure)

5. Download het VPN-configuratiebestand en pas het toe op het on-premises eindpunt.

   1. Selecteer op de pagina VPN (site-naar-site) bovenaan de optie VPN-configuratie downloaden. Azure maakt een opslagaccount in de resourcegroep 'microsoft-network-[location]', waarbij de locatie de locatie van het WAN is. Nadat u de configuratie op uw VPN-apparaten hebt toegepast, kunt u dit opslagaccount verwijderen.

   2. Nadat u de koppeling hebt gemaakt, selecteert u de koppeling om deze te downloaden.

   3. Pas de configuratie toe op uw on-premises VPN-apparaat.

   Zie Over het configuratiebestand van het VPN-apparaat voor meer informatie over het configuratiebestand.

6. Patch de Azure VMware Solution ExpressRoute in de Virtual WAN-hub.

   Belangrijk

   U moet eerst een privécloud hebben gemaakt voordat u het platform kunt patchen.

   Belangrijk

   U moet ook een ExpressRoute-gateway hebben geconfigureerd als onderdeel van uw Virtual WAN-hub.

   1. Ga in Azure Portal naar de privécloud van Azure VMware Solution.

   2. Selecteer Connectiviteit onder Beheren.

   3. Selecteer het tabblad ExpressRoute en selecteer vervolgens + Een autorisatiesleutel aanvragen.

      

   4. Geef een naam op voor de autorisatiesleutel en selecteer Vervolgens Maken.

      Het kan ongeveer 30 seconden duren om de sleutel te maken. Nadat de sleutel is gemaakt, wordt deze weergegeven in de lijst met autorisatiesleutels voor de privécloud.

      

   5. Kopieer de autorisatiesleutel en de ExpressRoute-id. U hebt ze nodig om de peering te voltooien. De autorisatiesleutel verdwijnt na enige tijd, dus kopieer deze zodra deze wordt weergegeven.

7. Koppel Azure VMware Solution en de VPN-gateway aan elkaar in de Virtual WAN-hub. U gebruikt de autorisatiesleutel en ExpressRoute-id (peercircuit-URI) uit de vorige stap.

   1. Selecteer uw ExpressRoute-gateway en selecteer vervolgens Autorisatiesleutel inwisselen.

      

   2. Plak de autorisatiesleutel in het veld Autorisatiesleutel .

   3. Plak de ExpressRoute-id in het veld Peer-circuit-URI .

   4. Schakel dit ExpressRoute-circuit automatisch aan het hub-selectievakje in.

   5. Selecteer Toevoegen om de koppeling tot stand te brengen.

8. Test uw verbinding door een NSX-T-datacentersegment te maken en een VIRTUELE machine in het netwerk in te richten. Ping zowel de on-premises eindpunten als de Azure VMware Solution-eindpunten.

   Notitie

   Wacht ongeveer 5 minuten voordat u de connectiviteit van een client achter uw ExpressRoute-circuit, bijvoorbeeld een virtuele machine in het VNet dat u eerder hebt gemaakt, test.