Configurar uma VPN site a site na vWAN para a solução VMware do Azure

  • Artigo

Neste artigo, saiba como estabelecer uma VPN (IPsec IKEv1 e IKEv2) terminando em túnel site a site no hub WAN Virtual do Microsoft Azure. O hub contém o gateway VMware Solution ExpressRoute do Azure e o gateway VPN site a site. Ele conecta um dispositivo VPN local a um ponto de extremidade da Solução VMware do Azure.

Diagram showing VPN site-to-site tunnel architecture.

Pré-requisitos

Você deve ter um endereço IP voltado para o público terminando em um dispositivo VPN local.

Criar uma WAN Virtual do Azure

  1. No portal, na barra de recursos de pesquisa, digite WAN Virtual na caixa de pesquisa e selecione Enter.

  2. Selecione WANs virtuais nos resultados. Na página WANs Virtuais, selecione + Criar para abrir a página Criar WAN .

  3. Na página Criar WAN, na guia Noções básicas, preencha os campos. Modifique os valores de exemplo a serem aplicados ao seu ambiente.

    Screenshot shows the Create WAN pane with the Basics tab selected.

    • Subscrição: selecione a subscrição que pretende utilizar.
    • Grupo de recursos: crie novos ou use existentes.
    • Local do grupo de recursos: escolha um local de recurso na lista suspensa. Uma WAN é um recurso global e não vive em uma região específica. No entanto, você deve selecionar uma região para gerenciar e localizar o recurso WAN criado.
    • Nome: digite o Nome que você deseja chamar de WAN virtual.
    • Tipo: Básico ou Padrão. selecione Standard. Se você selecionar Básico, entenda que as WANs virtuais básicas só podem conter hubs básicos. Os hubs básicos só podem ser usados para conexões site a site.

  4. Depois de concluir o preenchimento dos campos, na parte inferior da página, selecione Rever + Criar.

  5. Quando a validação for aprovada, clique em Criar para criar a WAN virtual.

Criar um hub virtual

Um hub virtual é uma rede virtual criada e usada pela WAN Virtual do Azure. É o núcleo da sua rede WAN virtual em uma região. Ele pode conter gateways para site a site e Rota Expressa.

Gorjeta

Você também pode criar um gateway em um hub existente.

  1. Vá para a WAN virtual que você criou. No painel esquerdo da página WAN virtual, em Conectividade, selecione Hubs.

  2. Na página Hubs, selecione +Novo Hub para abrir a página Criar hub virtual.

    Screenshot shows the Create virtual hub pane with the Basics tab selected.

  3. Na guia Noções básicas da página Criar hub virtual, preencha os seguintes campos:

    • Região: selecione a região na qual você deseja implantar o hub virtual.
    • Nome: o nome pelo qual você deseja que o hub virtual seja conhecido.
    • Espaço de endereçamento privado do hub: o intervalo de endereços do hub na notação CIDR. O espaço de endereço mínimo é /24 para criar um hub.
    • Capacidade do hub virtual: selecione na lista suspensa. Para obter mais informações, consulte Configurações do hub virtual.
    • Preferência de roteamento de hub: deixe como padrão. Para obter mais informações, consulte Preferência de roteamento de hub virtual.

Criar um gateway de VPN

  1. Na página Criar hub virtual, clique em Site a site para abrir a guia Site a site.

    Screenshot shows the Create virtual hub pane with Site to site selected.

  2. Na guia Site a site , preencha os seguintes campos:

    • Selecione Sim para criar uma VPN site a site.

    • Número AS: O campo Número AS não pode ser editado.

    • Unidades de escala de gateway: selecione o valor de unidades de escala de gateway na lista suspensa. A unidade de escala permite escolher a taxa de transferência agregada do gateway VPN que está sendo criado no hub virtual para conectar sites.

      Se você escolher 1 unidade de escala = 500 Mbps, isso implica que duas instâncias para redundância serão criadas, cada uma com uma taxa de transferência máxima de 500 Mbps. Por exemplo, se você tinha cinco filiais, cada uma fazendo 10 Mbps na filial, você precisará de um agregado de 50 Mbps no head-end. O planejamento da capacidade agregada do gateway de VPN do Azure deve ser feito depois de avaliar a capacidade necessária para dar suporte ao número de filiais no hub.

    • Preferência de roteamento: a preferência de roteamento do Azure permite que você escolha como seu tráfego roteia entre o Azure e a Internet. Pode optar por encaminhar o tráfego através da rede Microsoft ou através da rede ISP (Internet pública). Essas opções também são conhecidas como roteamento de batata fria e roteamento de batata quente, respectivamente.

      O endereço IP público na WAN Virtual é atribuído pelo serviço, com base na opção de roteamento selecionada. Para obter mais informações sobre a preferência de roteamento via rede Microsoft ou ISP, consulte o artigo Preferência de roteamento.

  3. Selecione Rever + Criar para validar.

  4. Selecione Criar para criar o hub e o gateway. Esta ação pode demorar até 30 minutos. Após 30 minutos, atualize para visualizar o hub na página Hubs . Selecione Ir para o recurso para navegar até o recurso.

Criar uma VPN site a site

  1. No portal do Azure, selecione a WAN virtual criada anteriormente.

  2. Na Visão geral do hub virtual, selecione VPN de conectividade>(site a site)>Criar novo site VPN.

    Screenshot of the Overview page for the virtual hub, with VPN (site-to-site) and Create new VPN site selected.

  3. Na guia Noções básicas, insira os campos obrigatórios.

    Screenshot showing the Create VPN site page with the Basics tab open.

    • Região - Anteriormente referida como localização. É o local em que você deseja criar este recurso de site.

    • Nome - O nome pelo qual você deseja se referir ao seu site local.

    • Fornecedor do dispositivo - O nome do fornecedor do dispositivo VPN, por exemplo, Citrix, Cisco ou Barracuda. Ele ajuda a Equipe do Azure a entender melhor seu ambiente para adicionar mais possibilidades de otimização no futuro ou ajudá-lo a solucionar problemas.

    • Espaço de endereço privado - O espaço de endereço IP CIDR localizado no seu site local. O tráfego destinado a este espaço de endereços é encaminhado para o site local. O bloco CIDR só é necessário se o BGP não estiver habilitado para o site.

    Nota

    Se você editar o espaço de endereço depois de criar o site (por exemplo, adicionar um espaço de endereço adicional), pode levar de 8 a 10 minutos para atualizar as rotas efetivas enquanto os componentes são recriados.

  4. Selecione Links para adicionar informações sobre os links físicos na filial. Se você tiver um dispositivo CPE de parceiro WAN Virtual, verifique com eles se essas informações são trocadas com o Azure como parte do carregamento de informações de filial configurado de seus sistemas.

    A especificação de nomes de link e provedor permite distinguir entre qualquer número de gateways que eventualmente podem ser criados como parte do hub. O BGP e o número do sistema autônomo (ASN) devem ser exclusivos dentro da sua organização. O BGP garante que a Solução VMware do Azure e os servidores locais anunciem suas rotas através do túnel. Se desativado, as sub-redes que precisam ser anunciadas devem ser mantidas manualmente. Se as sub-redes forem perdidas, o HCX não conseguirá formar a malha de serviço.

    Importante

    Por padrão, o Azure atribui um endereço IP privado do intervalo de prefixos GatewaySubnet automaticamente como o endereço IP BGP do Azure no gateway de VPN do Azure. O endereço BGP API do Azure personalizado é necessário quando seus dispositivos VPN locais usam um endereço APIPA (169.254.0.1 a 169.254.255.254) como o IP BGP. O Gateway de VPN do Azure escolherá o endereço APIPA personalizado se o recurso de gateway de rede local correspondente (rede local) tiver um endereço APIPA como IP de mesmo nível BGP. Se o gateway de rede local usar um endereço IP regular (não APIPA), o Gateway de VPN do Azure reverterá para o endereço IP privado do intervalo GatewaySubnet.

    Screenshot showing the Create VPN site page with the Links tab open.

  5. Selecione Rever + criar.

  6. Navegue até o hub virtual desejado e desmarque Associação de hub para conectar seu site VPN ao hub.

    Screenshot shows Connect to this hub.

(Opcional) Criar túneis VPN site a site baseados em políticas

Importante

Esta é uma etapa opcional e se aplica apenas a VPNs baseadas em políticas.

As configurações de VPN baseadas em políticas exigem que as redes locais e da Solução VMware do Azure sejam especificadas, incluindo os intervalos de hub. Esses intervalos especificam o domínio de criptografia do ponto de extremidade local do túnel VPN baseado em política. O lado da Solução VMware do Azure requer apenas que o indicador seletor de tráfego baseado em política seja habilitado.

  1. No portal do Azure, vá para seu site de hub WAN Virtual e, em Conectividade, selecione VPN (Site a site).

  2. Selecione o Site VPN para o qual você deseja configurar uma política IPsec personalizada.

    Screenshot showing the existing VPN sites to set up customer IPsec policies.

  3. Selecione o nome do seu site VPN, selecione Mais (...) na extremidade direita e, em seguida, selecione Editar conexão VPN.

    Screenshot showing the context menu for an existing VPN site.

    • Internet Protocol Security (IPSec), selecione Personalizado.

    • Usar seletor de tráfego baseado em política, selecione Ativar

    • Especifique os detalhes para IKE Fase 1 e IKE Fase 2 (ipsec).

  4. Altere a configuração IPsec de padrão para personalizado e personalize a diretiva IPsec. Em seguida, selecione Guardar.

    Screenshot showing the existing VPN sites.

    Seus seletores de tráfego ou sub-redes que fazem parte do domínio de criptografia baseado em política devem ser:

    • Hub WAN virtual /24

    • Nuvem privada da Solução VMware do Azure /22

    • Rede virtual do Azure conectada (se presente)

Conecte seu site VPN ao hub

  1. Selecione o nome do seu site VPN e, em seguida, selecione Conectar sites VPN.

  2. No campo Chave pré-compartilhada, insira a chave definida anteriormente para o ponto de extremidade local.

    Gorjeta

    Se não tiver uma chave definida anteriormente, pode deixar este campo em branco. Uma chave é gerada para você automaticamente.

    Screenshot that shows the Connected Sites pane for Virtual HUB ready for a Pre-shared key and associated settings.

  3. Se você estiver implantando um firewall no hub e for o próximo salto, defina a opção Propagar rota padrão como Habilitar.

    Quando habilitado, o hub WAN Virtual se propaga para uma conexão somente se o hub já tiver aprendido a rota padrão ao implantar um firewall no hub ou se outro site conectado forçar o túnel habilitado. A rota padrão não se origina no hub WAN Virtual.

  4. Selecione Ligar. Após alguns minutos, o site mostra o status da conexão e da conectividade.

    Screenshot that shows a site-to-site connection and connectivity status.

    Status da Conexão: Status do recurso do Azure para a conexão que conecta o site VPN ao gateway VPN do hub do Azure. Quando essa operação do plano de controle for bem-sucedida, o gateway de VPN do Azure e o dispositivo VPN local estabelecerão conectividade.

    Status da conectividade: status real da conectividade (caminho de dados) entre o gateway de VPN do Azure no hub e o site VPN. Ele pode mostrar qualquer um dos seguintes estados:

    • Desconhecido: normalmente visto se os sistemas de back-end estão trabalhando para fazer a transição para outro status.
    • Conectando: o gateway de VPN do Azure está tentando entrar em contato com o site de VPN local real.
    • Conectado: conectividade estabelecida entre o gateway de VPN do Azure e o site VPN local.
    • Desconectado: normalmente visto se desconectado por qualquer motivo (local ou no Azure)

  5. Baixe o arquivo de configuração VPN e aplique-o ao ponto de extremidade local.

    1. Na página VPN (Site a site), perto da parte superior, selecione Baixar configuração de VPN. O Azure cria uma conta de armazenamento no grupo de recursos 'microsoft-network-[location]', onde location é o local da WAN. Depois de aplicar a configuração aos seus dispositivos VPN, você pode excluir essa conta de armazenamento.

    2. Uma vez criado, selecione o link para baixá-lo.

    3. Aplique a configuração ao dispositivo VPN no local.

    Para obter mais informações sobre o arquivo de configuração, consulte Sobre o arquivo de configuração do dispositivo VPN.

  6. Corrija a Rota Expressa da Solução VMware do Azure no hub WAN Virtual.

    Importante

    Você deve primeiro ter uma nuvem privada criada antes de poder corrigir a plataforma.

    Importante

    Você também deve ter um Gateway de Rota Expressa configurado como parte do seu Hub WAN Virtual.

    1. No portal do Azure, navegue até a nuvem privada da Solução VMware do Azure. Selecione Gerenciar>conectividade>Rota Expressa e, em seguida, selecione + Solicitar uma chave de autorização.

      Screenshot shows how to request an ExpressRoute authorization key.

    2. Forneça um nome para ele e selecione Criar.

      Pode levar cerca de 30 segundos para criar a chave. Uma vez criada, a nova chave aparece na lista de chaves de autorização para a nuvem privada.

      Screenshot shows the ExpressRoute Global Reach authorization key.

    3. Copie a chave de autorização e a ID da Rota Expressa. Você precisa deles para completar o peering. A chave de autorização desaparece após algum tempo, por isso copie-a assim que aparecer.

  7. Vincule a Solução VMware do Azure e o gateway VPN juntos no hub WAN Virtual. Use a chave de autorização e a ID da Rota Expressa (URI do circuito de mesmo nível) da etapa anterior.

    1. Selecione seu gateway de Rota Expressa e, em seguida, selecione Resgatar chave de autorização.

      Screenshot of the ExpressRoute page for the private cloud, with Redeem authorization key selected.

    2. Cole a chave de autorização no campo Chave de autorização.

    3. Cole a ID da Rota Expressa no campo URI do circuito de mesmo nível.

    4. Marque a caixa de seleção Associar automaticamente este circuito de Rota Expressa ao hub .

    5. Selecione Adicionar para estabelecer o link.

  8. Teste sua conexão criando um segmento de Data Center NSX-T e provisionando uma VM na rede. Execute ping nos pontos de extremidade locais e da Solução VMware do Azure.

    Nota

    Aguarde aproximadamente 5 minutos antes de testar a conectividade de um cliente atrás do circuito da Rota Expressa, por exemplo, uma VM na VNet criada anteriormente.