Szyfrowanie usługi ExpressRoute: protokół IPsec za pośrednictwem usługi ExpressRoute dla Virtual WAN

  • Artykuł

W tym artykule pokazano, jak używać usługi Azure Virtual WAN do ustanawiania połączenia sieci VPN protokołu IPsec/IKE z sieci lokalnej do platformy Azure za pośrednictwem prywatnej komunikacji równorzędnej obwodu usługi Azure ExpressRoute. Ta technika może zapewnić zaszyfrowany tranzyt między sieciami lokalnymi i sieciami wirtualnymi platformy Azure za pośrednictwem usługi ExpressRoute, bez przechodzenia przez publiczny Internet ani przy użyciu publicznych adresów IP.

Topologia i routing

Na poniższym diagramie przedstawiono przykład łączności sieci VPN za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute:

Diagram sieci VPN za pośrednictwem usługi ExpressRoute.

Na diagramie przedstawiono sieć w sieci lokalnej połączonej z bramą sieci VPN centrum platformy Azure za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. Ustanowienie łączności jest proste:

  1. Ustanów łączność usługi ExpressRoute z obwodem usługi ExpressRoute i prywatną komunikacją równorzędną.
  2. Ustanów łączność sieci VPN zgodnie z opisem w tym artykule.

Ważnym aspektem tej konfiguracji jest routing między sieciami lokalnymi i platformą Azure za pośrednictwem ścieżek usługi ExpressRoute i sieci VPN.

Ruch z sieci lokalnych do platformy Azure

W przypadku ruchu z sieci lokalnych do platformy Azure prefiksy platformy Azure (w tym koncentrator wirtualny i wszystkie sieci wirtualne będące szprychami połączone z piastą) są anonsowane za pośrednictwem prywatnej komunikacji równorzędnej BGP usługi ExpressRoute i protokołu BGP sieci VPN. Spowoduje to wykonanie dwóch tras sieciowych (ścieżek) w kierunku platformy Azure z sieci lokalnych:

  • Jeden przez ścieżkę chronioną przez protokół IPsec
  • Jeden bezpośrednio za pośrednictwem usługi ExpressRoute bez ochrony protokołu IPsec

Aby zastosować szyfrowanie do komunikacji, upewnij się, że w przypadku sieci połączonej z siecią VPN na diagramie trasy platformy Azure za pośrednictwem lokalnej bramy sieci VPN są preferowane przez bezpośrednią ścieżkę usługi ExpressRoute.

Ruch z platformy Azure do sieci lokalnych

To samo wymaganie dotyczy ruchu z platformy Azure do sieci lokalnych. Aby upewnić się, że ścieżka protokołu IPsec jest preferowana przez bezpośrednią ścieżkę usługi ExpressRoute (bez protokołu IPsec), masz dwie opcje:

  • Anonsuj bardziej szczegółowe prefiksy w sesji protokołu BGP sieci VPN dla sieci VPN połączonej. Możesz anonsować większy zakres obejmujący sieć połączoną z siecią VPN za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute, a następnie bardziej szczegółowe zakresy w sesji protokołu BGP sieci VPN. Na przykład anonsuj 10.0.0.0/16 za pośrednictwem usługi ExpressRoute i 10.0.1.0/24 za pośrednictwem sieci VPN.

  • Anonsuj rozłączne prefiksy dla sieci VPN i usługi ExpressRoute. Jeśli zakresy sieci połączonej z siecią VPN są rozłączne z innych połączonych sieci usługi ExpressRoute, możesz anonsować prefiksy odpowiednio w sesjach sieci VPN i protokołu BGP usługi ExpressRoute. Na przykład anonsuj 10.0.0.0/24 za pośrednictwem usługi ExpressRoute i 10.0.1.0/24 za pośrednictwem sieci VPN.

W obu tych przykładach platforma Azure wyśle ruch do wersji 10.0.1.0/24 za pośrednictwem połączenia sieci VPN, a nie bezpośrednio za pośrednictwem usługi ExpressRoute bez ochrony sieci VPN.

Ostrzeżenie

Jeśli anonsujesz te same prefiksy za pośrednictwem połączeń usługi ExpressRoute i sieci VPN, platforma Azure użyje ścieżki usługi ExpressRoute bezpośrednio bez ochrony sieci VPN.

Zanim rozpoczniesz

Przed rozpoczęciem konfiguracji sprawdź, czy spełnione są następujące kryteria:

  • Jeśli masz już sieć wirtualną, z którą chcesz nawiązać połączenie, sprawdź, czy żadna z podsieci sieci lokalnej nie nakłada się na nią. Sieć wirtualna nie wymaga podsieci bramy i nie może mieć żadnych bram sieci wirtualnych. Jeśli nie masz sieci wirtualnej, możesz go utworzyć, wykonując kroki opisane w tym artykule.
  • Uzyskaj zakres adresów IP w regionie koncentratora. Piasta jest siecią wirtualną, a zakres adresów określony dla regionu koncentratora nie może nakładać się na istniejącą sieć wirtualną, z którą nawiązujesz połączenie. Nie może również nakładać się na zakresy adresów, z którymi łączysz się lokalnie. Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, koordynuj się z osobą, która może podać te szczegóły.
  • Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

1. Tworzenie wirtualnej sieci WAN i centrum z bramami

Przed kontynuowaniem należy wykonać następujące zasoby platformy Azure i odpowiednie konfiguracje lokalne:

Aby uzyskać instrukcje tworzenia wirtualnej sieci WAN platformy Azure i centrum za pomocą skojarzenia usługi ExpressRoute, zobacz Tworzenie skojarzenia usługi ExpressRoute przy użyciu usługi Azure Virtual WAN. Aby uzyskać instrukcje tworzenia bramy sieci VPN w wirtualnej sieci WAN, zobacz Tworzenie połączenia typu lokacja-lokacja przy użyciu usługi Azure Virtual WAN.

2. Tworzenie lokacji dla sieci lokalnej

Zasób lokacji jest taki sam jak lokacje sieci VPN spoza usługi ExpressRoute dla wirtualnej sieci WAN. Adres IP lokalnego urządzenia sieci VPN może być teraz prywatnym adresem IP lub publicznym adresem IP dostępnym w sieci lokalnej za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute utworzonej w kroku 1.

Uwaga

Adres IP lokalnego urządzenia sieci VPN musi być częścią prefiksów adresów anonsowanych do wirtualnego centrum sieci WAN za pośrednictwem prywatnej komunikacji równorzędnej usługi Azure ExpressRoute.

  1. Przejdź do lokacji sieci VPN YourVirtualWAN > i utwórz lokację dla sieci lokalnej. Aby uzyskać podstawowe instrukcje, zobacz Tworzenie witryny. Pamiętaj o następujących wartościach ustawień:

    • Border Gateway Protocol: wybierz pozycję "Włącz", jeśli sieć lokalna używa protokołu BGP.
    • Prywatna przestrzeń adresowa: wprowadź przestrzeń adresów IP znajdującą się w lokacji lokalnej. Ruch przeznaczony dla tej przestrzeni adresowej jest kierowany do sieci lokalnej za pośrednictwem bramy sieci VPN.

  2. Wybierz pozycję Łącza , aby dodać informacje o łączach fizycznych. Pamiętaj o następujących ustawieniach:

    • Nazwa dostawcy: nazwa dostawcy usług internetowych dla tej witryny. W przypadku sieci lokalnej usługi ExpressRoute jest to nazwa dostawcy usług ExpressRoute.

    • Szybkość: szybkość łącza usługi internetowej lub obwodu usługi ExpressRoute.

    • Adres IP: publiczny adres IP urządzenia sieci VPN, który znajduje się w lokacji lokalnej. W przypadku usługi ExpressRoute lokalnie jest to prywatny adres IP urządzenia sieci VPN za pośrednictwem usługi ExpressRoute.

    • Jeśli protokół BGP jest włączony, dotyczy wszystkich połączeń utworzonych dla tej witryny na platformie Azure. Konfigurowanie protokołu BGP w wirtualnej sieci WAN jest równoważne konfigurowaniu protokołu BGP w bramie sieci VPN platformy Azure.

    • Lokalny adres równorzędny protokołu BGP nie może być taki sam jak adres IP sieci VPN do urządzenia lub przestrzeni adresowej sieci wirtualnej lokacji sieci VPN. Na urządzeniu sieci VPN należy użyć innego adresu IP dla adresu IP elementu równorzędnego protokołu BGP. Może to być adres przypisany do interfejsu sprzężenia zwrotnego na urządzeniu. Nie może to być jednak identyfikator APIPA (169.254).x. x) adres. Określ ten adres w odpowiedniej lokacji sieci VPN, która reprezentuje lokalizację. Aby zapoznać się z wymaganiami wstępnymi protokołu BGP, zobacz About BGP with Azure VPN Gateway (Informacje o protokołu BGP za pomocą usługi Azure VPN Gateway).

  3. Wybierz pozycję Dalej: Przejrzyj i utwórz > , aby sprawdzić wartości ustawień i utworzyć lokację sieci VPN, a następnie utwórz lokację.

  4. Następnie połącz lokację z centrum, korzystając z tych podstawowych kroków jako wskazówki. Zaktualizowanie bramy może potrwać do 30 minut.

3. Zaktualizuj ustawienie połączenia sieci VPN, aby używać usługi ExpressRoute

Po utworzeniu lokacji sieci VPN i nawiązaniu połączenia z koncentratorem wykonaj następujące kroki, aby skonfigurować połączenie do korzystania z prywatnej komunikacji równorzędnej usługi ExpressRoute:

  1. Przejdź do koncentratora wirtualnego. Możesz to zrobić, przechodząc do Virtual WAN i wybierając centrum, aby otworzyć stronę centrum, lub przejść do połączonego koncentratora z lokacji sieci VPN.

  2. W obszarze Łączność wybierz pozycję VPN (lokacja-lokacja).

  3. Wybierz wielokropek (...) lub kliknij prawym przyciskiem myszy lokację sieci VPN za pośrednictwem usługi ExpressRoute, a następnie wybierz pozycję Edytuj połączenie sieci VPN z tym koncentratorem.

  4. Na stronie Podstawowe pozostaw wartości domyślne.

  5. Na stronie Łączenie połączenia 1 skonfiguruj następujące ustawienia:

    • W obszarze Użyj prywatnego adresu IP platformy Azure wybierz pozycję Tak. Ustawienie konfiguruje bramę sieci VPN koncentratora do używania prywatnych adresów IP w zakresie adresów koncentratora w bramie dla tego połączenia, a nie publicznych adresów IP. Dzięki temu ruch z sieci lokalnej przechodzi przez ścieżki prywatnej komunikacji równorzędnej usługi ExpressRoute, a nie za pomocą publicznego Internetu dla tego połączenia sieci VPN.

  6. Kliknij przycisk Utwórz , aby zaktualizować ustawienia. Po utworzeniu ustawień brama sieci VPN koncentratora będzie używać prywatnych adresów IP w bramie sieci VPN do ustanawiania połączeń protokołu IPsec/IKE z lokalnym urządzeniem sieci VPN za pośrednictwem usługi ExpressRoute.

4. Pobieranie prywatnych adresów IP bramy sieci VPN koncentratora

Pobierz konfigurację urządzenia sieci VPN, aby uzyskać prywatne adresy IP bramy sieci VPN koncentratora. Te adresy są potrzebne do skonfigurowania lokalnego urządzenia sieci VPN.

  1. Na stronie centrum wybierz pozycję VPN (lokacja-lokacja) w obszarze Łączność.

  2. W górnej części strony Przegląd wybierz pozycję Pobierz konfigurację sieci VPN.

    Platforma Azure tworzy konto magazynu w grupie zasobów "microsoft-network-[location],", gdzie lokalizacja jest lokalizacją sieci WAN. Po zastosowaniu konfiguracji do urządzeń sieci VPN możesz usunąć to konto magazynu.

  3. Po utworzeniu pliku wybierz link, aby go pobrać.

  4. Zastosuj konfigurację na urządzeniu sieci VPN.

Plik konfiguracji urządzenia sieci VPN

Plik konfiguracji urządzenia zawiera ustawienia do użycia podczas konfigurowania lokalnego urządzenia sieci VPN. Podczas przeglądania tego pliku należy zwrócić uwagę na następujące informacje:

  • vpnSiteConfiguration: ta sekcja określa szczegóły urządzenia skonfigurowane jako lokacja łącząca się z wirtualną siecią WAN. Zawiera ona nazwę i publiczny adres IP urządzenia gałęzi.

  • vpnSiteConnections: Ta sekcja zawiera informacje o następujących ustawieniach:

    • Przestrzeń adresowa sieci wirtualnej koncentratora wirtualnego.
      Przykład: "AddressSpace":"10.51.230.0/24"
    • Przestrzeń adresowa sieci wirtualnych połączonych z koncentratorem.
      Przykład: "ConnectedSubnets":["10.51.231.0/24"]
    • Adresy IP bramy sieci VPN koncentratora wirtualnego. Ponieważ każde połączenie bramy sieci VPN składa się z dwóch tuneli w konfiguracji aktywne-aktywne, zobaczysz oba adresy IP wymienione w tym pliku. W tym przykładzie zobaczysz Instance0 i Instance1 dla każdej witryny, a są to prywatne adresy IP zamiast publicznych adresów IP.
      Przykład: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Szczegóły konfiguracji połączenia bramy sieci VPN, takie jak protokół BGP i klucz wstępny. Klucz wstępny jest generowany automatycznie. Zawsze możesz edytować połączenie na stronie Przegląd niestandardowego klucza wstępnego.

Przykładowy plik konfiguracji urządzenia

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

Konfigurowanie urządzenia sieci VPN

Jeśli chcesz wiedzieć, jak skonfigurować urządzenie, możesz skorzystać z instrukcji na stronie ze skryptami konfigurowania urządzenia sieci VPN, z następującymi zastrzeżeniami:

  • Instrukcje na stronie urządzenia sieci VPN nie są zapisywane dla wirtualnej sieci WAN. Można jednak użyć wartości wirtualnej sieci WAN z pliku konfiguracji, aby ręcznie skonfigurować urządzenie sieci VPN.
  • Skrypty konfiguracji urządzenia do pobrania, które są przeznaczone dla bramy sieci VPN, nie działają dla wirtualnej sieci WAN, ponieważ konfiguracja jest inna.
  • Nowa wirtualna sieć WAN może obsługiwać protokoły IKEv1 i IKEv2.
  • Wirtualna sieć WAN może używać tylko urządzeń sieci VPN opartych na trasach i instrukcji dotyczących urządzeń.

5. Wyświetlanie wirtualnej sieci WAN

  1. Przejdź do wirtualnej sieci WAN.
  2. Na stronie Przegląd każdy punkt na mapie reprezentuje koncentrator.
  3. W sekcji Koncentratory i połączenia można wyświetlić stan połączenia koncentratora, lokacji, regionu i sieci VPN. Możesz również wyświetlać bajty w i na wyjęcie.

6. Monitorowanie połączenia

Utwórz połączenie do monitorowania komunikacji między maszyną wirtualną platformy Azure a lokacją zdalną. Aby uzyskać informacje dotyczące konfigurowania monitora połączeń, zobacz Monitorowanie komunikacji sieciowej. Pole źródłowe to adres IP maszyny wirtualnej na platformie Azure, a docelowy adres IP to adres IP lokacji.

7. Czyszczenie zasobów

Gdy te zasoby nie są już potrzebne, możesz użyć polecenia Remove-AzResourceGroup , aby usunąć grupę zasobów i wszystkie zawarte w niej zasoby. Uruchom następujące polecenie programu PowerShell i zastąp myResourceGroup ciąg nazwą grupy zasobów:

Remove-AzResourceGroup -Name myResourceGroup -Force

Następne kroki

Ten artykuł ułatwia utworzenie połączenia sieci VPN za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute przy użyciu Virtual WAN. Aby dowiedzieć się więcej na temat Virtual WAN i powiązanych funkcji, zobacz omówienie Virtual WAN.