Delen via

ExpressRoute-versleuteling: IPsec via ExpressRoute voor Virtual WAN

  • Artikel

In dit artikel wordt beschreven hoe u Azure Virtual WAN gebruikt om een IPsec-/IKE VPN-verbinding tot stand te brengen van uw on-premises netwerk naar Azure via de persoonlijke peering van een Azure ExpressRoute-circuit. Deze techniek kan een versleutelde overdracht bieden tussen de on-premises netwerken en virtuele Azure-netwerken via ExpressRoute, zonder via het openbare internet of via openbare IP-adressen te gaan.

Topologie en routering

In het volgende diagram ziet u een voorbeeld van VPN-connectiviteit via persoonlijke ExpressRoute-peering:

Diagram van VPN via ExpressRoute.

In het diagram ziet u een netwerk binnen het on-premises netwerk dat is verbonden met de Azure Hub VPN-gateway via persoonlijke ExpressRoute-peering. De connectiviteitsinstelling is eenvoudig:

  1. ExpressRoute-connectiviteit tot stand brengen met een ExpressRoute-circuit en persoonlijke peering.
  2. Maak de VPN-connectiviteit zoals beschreven in dit artikel.

Een belangrijk aspect van deze configuratie is routering tussen de on-premises netwerken en Azure via de ExpressRoute- en VPN-paden.

Verkeer van on-premises netwerken naar Azure

Voor verkeer van on-premises netwerken naar Azure worden de Azure-voorvoegsels (inclusief de virtuele hub en alle virtuele spoke-netwerken die zijn verbonden met de hub) geadverteerd via zowel de ExpressRoute-privé-peering BGP als de VPN BGP. Dit resulteert in twee netwerkroutes (paden) naar Azure vanuit de on-premises netwerken:

  • Eén via het met IPsec beveiligde pad
  • Eén rechtstreeks via ExpressRoute zonder IPsec-beveiliging

Als u versleuteling wilt toepassen op de communicatie, moet u ervoor zorgen dat voor het vpn-verbonden netwerk in het diagram de Azure-routes via de on-premises VPN-gateway de voorkeur krijgen via het directe ExpressRoute-pad.

Verkeer van Azure naar on-premises netwerken

Dezelfde vereiste geldt voor het verkeer van Azure naar on-premises netwerken. Om ervoor te zorgen dat het IPsec-pad de voorkeur heeft boven het directe ExpressRoute-pad (zonder IPsec), hebt u twee opties:

  • Meer specifieke voorvoegsels adverteren op de VPN BGP-sessie voor het vpn-verbonden netwerk. U kunt een groter bereik adverteren dat het vpn-verbonden netwerk omvat via persoonlijke ExpressRoute-peering en vervolgens specifiekere bereiken in de VPN BGP-sessie. U kunt bijvoorbeeld 10.0.0.0/16 adverteren via ExpressRoute en 10.0.1.0/24 via VPN.

  • Adverteren van niet-aaneengesloten voorvoegsels voor VPN en ExpressRoute. Als de vpn-netwerkbereiken niet aan elkaar zijn gekoppeld vanuit andere expressRoute-verbonden netwerken, kunt u de voorvoegsels in respectievelijk de VPN- en ExpressRoute BGP-sessies adverteren. U kunt bijvoorbeeld 10.0.0.0/24 adverteren via ExpressRoute en 10.0.1.0/24 via VPN.

In beide voorbeelden verzendt Azure verkeer naar 10.0.1.0/24 via de VPN-verbinding in plaats van rechtstreeks via ExpressRoute zonder VPN-beveiliging.

Waarschuwing

Als u dezelfde voorvoegsels adverteert via zowel ExpressRoute- als VPN-verbindingen, gebruikt Azure het ExpressRoute-pad rechtstreeks zonder VPN-beveiliging.

Voordat u begint

Voordat u de configuratie start, controleert u of u aan de volgende criteria voldoet:

  • Als u al een virtueel netwerk hebt waarmee u verbinding wilt maken, controleert u of er geen subnetten van uw on-premises netwerk mee overlappen. Uw virtuele netwerk vereist geen gatewaysubnet en kan geen virtuele netwerkgateways hebben. Als u geen virtueel netwerk hebt, kunt u er een maken met behulp van de stappen in dit artikel.
  • Zorg dat u een IP-adresbereik krijgt voor uw hubregio. De hub is een virtueel netwerk en het adresbereik waarmee u voor de hubregio opgeeft, kan niet overlappen met een bestaand virtueel netwerk waarmee u verbinding maakt. Het kan ook niet overlappen met de adresbereiken waarmee u on-premises verbinding maakt. Als u niet bekend bent met de IP-adresbereiken in uw on-premises netwerkconfiguratie, moet u contact opnemen met iemand die deze gegevens voor u kan verstrekken.
  • Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

1. Een virtueel WAN en een hub maken met gateways

De volgende Azure-resources en de bijbehorende on-premises configuraties moeten aanwezig zijn voordat u verdergaat:

Zie Een ExpressRoute-koppeling maken met behulp van Azure Virtual WAN voor de stappen voor het maken van een virtuele WAN van Azure en een hub met een ExpressRoute-koppeling. Zie Een site-naar-site-verbinding maken met behulp van Azure Virtual WAN voor de stappen voor het maken van een VPN-gateway in het virtuele WAN.

2. Een site maken voor het on-premises netwerk

De siteresource is hetzelfde als de niet-ExpressRoute VPN-sites voor een virtueel WAN. Het IP-adres van het on-premises VPN-apparaat kan nu een privé-IP-adres zijn of een openbaar IP-adres in het on-premises netwerk dat bereikbaar is via persoonlijke ExpressRoute-peering die in stap 1 is gemaakt.

Notitie

Het IP-adres voor het on-premises VPN-apparaat moet deel uitmaken van de adresvoorvoegsels die worden geadverteerd naar de virtuele WAN-hub via persoonlijke Azure ExpressRoute-peering.

  1. Ga naar YourVirtualWAN > VPN-sites en maak een site voor uw on-premises netwerk. Zie Een site maken voor basisstappen. Houd rekening met de volgende instellingenwaarden:

    • Border Gateway Protocol: selecteer Inschakelen als uw on-premises netwerk BGP gebruikt.
    • Privéadresruimte: voer de IP-adresruimte in die zich op uw on-premises site bevindt. Verkeer dat is bestemd voor deze adresruimte, wordt via de VPN-gateway doorgestuurd naar het on-premises netwerk.

  2. Selecteer Koppelingen om informatie over de fysieke koppelingen toe te voegen. Houd rekening met de volgende instellingen:

    • Providernaam: de naam van de internetprovider voor deze site. Voor een on-premises ExpressRoute-netwerk is dit de naam van de ExpressRoute-serviceprovider.

    • Snelheid: de snelheid van de internetservicekoppeling of het ExpressRoute-circuit.

    • IP-adres: het openbare IP-adres van het VPN-apparaat dat zich op uw on-premises site bevindt. Voor ExpressRoute on-premises is het ook het privé-IP-adres van het VPN-apparaat via ExpressRoute.

    • Als BGP is ingeschakeld, is dit van toepassing op alle verbindingen die zijn gemaakt voor deze site in Azure. Het configureren van BGP in een virtueel WAN is gelijk aan het configureren van BGP op een Azure VPN-gateway.

    • Uw on-premises BGP-peeradres mag niet hetzelfde zijn als het IP-adres van uw VPN op het apparaat of de adresruimte van het virtuele netwerk van de VPN-site. Gebruik een ander IP-adres op het VPN-apparaat voor uw BGP-peer-IP. Het kan een adres zijn dat is toegewezen aan de loopback-interface op het apparaat. Het kan echter geen APIPA (169.254) zijn.x.x) adres. Geef dit adres op in de bijbehorende VPN-site die de locatie vertegenwoordigt. Zie Over BGP met Azure VPN-gateway voor BGP-vereisten.

  3. Selecteer Volgende: Controleren en maken > om de instellingswaarden te controleren en de VPN-site te maken en vervolgens de site te maken .

  4. Verbind vervolgens de site met de hub met behulp van deze basisstappen als richtlijn. Het kan tot 30 minuten duren voordat de gateway is bijgewerkt.

3. Werk de instelling voor de VPN-verbinding bij om ExpressRoute te gebruiken

Nadat u de VPN-site hebt gemaakt en verbinding hebt gemaakt met de hub, gebruikt u de volgende stappen om de verbinding te configureren voor het gebruik van persoonlijke ExpressRoute-peering:

  1. Ga naar de virtuele hub. U kunt dit doen door naar virtual WAN te gaan en de hub te selecteren om de hubpagina te openen, of u kunt naar de verbonden virtuele hub gaan vanaf de VPN-site.

  2. Selecteer vpn (site-naar-site) onder Connectiviteit.

  3. Selecteer het beletselteken (...) of klik met de rechtermuisknop op de VPN-site via ExpressRoute en selecteer VPN-verbinding met deze hub bewerken.

  4. Laat op de pagina Basisinformatie de standaardwaarden staan.

  5. Configureer de volgende instellingen op de pagina Verbinding maken 1 :

    • Selecteer Ja als u het privé-IP-adres van Azure wilt gebruiken. De instelling configureert de hub-VPN-gateway voor het gebruik van privé-IP-adressen binnen het hubadresbereik op de gateway voor deze verbinding, in plaats van de openbare IP-adressen. Dit zorgt ervoor dat het verkeer van het on-premises netwerk de expressRoute-privépeeringspaden doorkruist in plaats van het openbare internet te gebruiken voor deze VPN-verbinding.

  6. Klik op Maken om de instellingen bij te werken. Nadat de instellingen zijn gemaakt, gebruikt de hub-VPN-gateway de privé-IP-adressen op de VPN-gateway om de IPsec-/IKE-verbindingen met het on-premises VPN-apparaat via ExpressRoute tot stand te brengen.

4. Haal de privé-IP-adressen voor de hub-VPN-gateway op

Download de configuratie van het VPN-apparaat om de privé-IP-adressen van de hub-VPN-gateway op te halen. U hebt deze adressen nodig om het on-premises VPN-apparaat te configureren.

  1. Selecteer VPN (site-naar-site) onder Connectiviteit op de pagina voor uw hub.

  2. Selecteer Bovenaan de pagina Overzicht de optie VPN-configuratie downloaden.

    Azure maakt een opslagaccount in de resourcegroep 'microsoft-network-[location]', waarbij de locatie de locatie van het WAN is. Nadat u de configuratie op uw VPN-apparaten hebt toegepast, kunt u dit opslagaccount verwijderen.

  3. Nadat het bestand is gemaakt, selecteert u de koppeling om het te downloaden.

  4. Pas de configuratie toe op uw VPN-apparaat.

Configuratiebestand voor VPN-apparaten

Het apparaatconfiguratiebestand bevat de instellingen die moeten worden gebruikt wanneer u uw on-premises VPN-apparaat configureert. Wanneer u dit bestand bekijkt, ziet u de volgende informatie:

  • vpnSiteConfiguration: in deze sectie worden de apparaatdetails aangegeven die zijn ingesteld als een site die verbinding maakt met het virtuele WAN. Het bevat de naam en het openbare IP-adres van het vertakkingsapparaat.

  • vpnSiteConnections: deze sectie bevat informatie over de volgende instellingen:

    • Adresruimte van het virtuele netwerk van de virtuele hub.
      Voorbeeld: "AddressSpace":"10.51.230.0/24"
    • Adresruimte van de virtuele netwerken die zijn verbonden met de hub.
      Voorbeeld: "ConnectedSubnets":["10.51.231.0/24"]
    • IP-adressen van de VPN-gateway van de virtuele hub. Omdat elke verbinding van de VPN-gateway bestaat uit twee tunnels in actief-actief-configuratie, ziet u beide IP-adressen in dit bestand. In dit voorbeeld ziet Instance0 en Instance1 voor elke site en zijn ze privé-IP-adressen in plaats van openbare IP-adressen.
      Voorbeeld: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Configuratiedetails voor de VPN-gatewayverbinding, zoals BGP en vooraf gedeelde sleutel. De vooraf gedeelde sleutel wordt automatisch voor u gegenereerd. U kunt de verbinding altijd bewerken op de overzichtspagina voor een aangepaste vooraf gedeelde sleutel.

Voorbeeld van een apparaatconfiguratiebestand

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

Uw VPN-apparaat configureren

Als u instructies nodig hebt voor het configureren van uw apparaat, kunt u de instructies op de pagina met configuratiescripts voor VPN-apparaten gebruiken. Houd in dat geval wel rekening met de volgende dingen:

  • De instructies op de pagina vpn-apparaten zijn niet geschreven voor een virtueel WAN. Maar u kunt de virtuele WAN-waarden uit het configuratiebestand gebruiken om uw VPN-apparaat handmatig te configureren.
  • De downloadbare apparaatconfiguratiescripts die voor de VPN-gateway zijn, werken niet voor het virtuele WAN, omdat de configuratie anders is.
  • Een nieuw virtueel WAN kan zowel IKEv1 als IKEv2 ondersteunen.
  • Een virtueel WAN kan alleen op route gebaseerde VPN-apparaten en apparaatinstructies gebruiken.

5. Uw virtuele WAN weergeven

  1. Ga naar het virtuele WAN.
  2. Op de pagina Overzicht vertegenwoordigt elk punt op de kaart een hub.
  3. In de sectie Hubs en verbindingen kunt u de status van hub-, site-, regio- en VPN-verbinding weergeven. U kunt ook bytes in en uit weergeven.

6. Een verbinding bewaken

Maak een verbinding om de communicatie tussen een virtuele Azure-machine (VM) en een externe site te bewaken. Zie voor meer informatie over het instellen van een verbindingscontrole de pagina Netwerkcommunicatie bewaken. Het bronveld is het IP-adres van de virtuele machine in Azure en het doel-IP is het site-IP-adres.

7. Resources opschonen

Wanneer u deze resources niet meer nodig hebt, kunt u Remove-AzResourceGroup gebruiken om de resourcegroep en alle resources die deze bevat te verwijderen. Voer de volgende PowerShell-opdracht uit en vervang deze door myResourceGroup de naam van uw resourcegroep:

Remove-AzResourceGroup -Name myResourceGroup -Force

Volgende stappen

Dit artikel helpt u bij het maken van een VPN-verbinding via persoonlijke ExpressRoute-peering met behulp van Virtual WAN. Zie het Virtual WAN-overzicht voor meer informatie over Virtual WAN en gerelateerde functies.