Encriptação do ExpressRoute: IPsec através do ExpressRoute para WAN Virtual

Este artigo mostra-lhe como utilizar o Azure WAN Virtual para estabelecer uma ligação VPN IPsec/IKE da sua rede no local para o Azure através do peering privado de um circuito do Azure ExpressRoute. Esta técnica pode fornecer um trânsito encriptado entre as redes no local e as redes virtuais do Azure através do ExpressRoute, sem passar pela Internet pública ou utilizar endereços IP públicos.

Topologia e encaminhamento

O diagrama seguinte mostra um exemplo de conectividade VPN através do peering privado do ExpressRoute:

O diagrama mostra uma rede na rede no local ligada ao gateway de VPN do hub do Azure através do peering privado do ExpressRoute. O estabelecimento de conectividade é simples:

1. Estabeleça a conectividade do ExpressRoute com um circuito do ExpressRoute e peering privado.
2. Estabeleça a conectividade VPN conforme descrito neste artigo.

Um aspeto importante desta configuração é o encaminhamento entre as redes no local e o Azure através dos caminhos do ExpressRoute e da VPN.

Tráfego de redes no local para o Azure

Para o tráfego de redes no local para o Azure, os prefixos do Azure (incluindo o hub virtual e todas as redes virtuais spoke ligadas ao hub) são anunciados através do BGP de peering privado do ExpressRoute e do BGP de VPN. Isto resulta em duas rotas de rede (caminhos) para o Azure a partir das redes no local:

• Um sobre o caminho protegido por IPsec
• Uma diretamente através do ExpressRoute sem proteção IPsec

Para aplicar a encriptação à comunicação, tem de se certificar de que, para a rede ligada à VPN no diagrama, as rotas do Azure através do gateway de VPN no local são preferenciais em vez do caminho direto do ExpressRoute.

Tráfego do Azure para redes no local

O mesmo requisito aplica-se ao tráfego do Azure para redes no local. Para garantir que o caminho IPsec é preferido em vez do caminho direto do ExpressRoute (sem IPsec), tem duas opções:

• Anunciar prefixos mais específicos na sessão BGP de VPN para a rede ligada à VPN. Pode anunciar um intervalo maior que abranja a rede ligada à VPN através do peering privado do ExpressRoute e, em seguida, intervalos mais específicos na sessão BGP de VPN. Por exemplo, anuncie 10.0.0.0/16 através do ExpressRoute e 10.0.1.0/24 através de VPN.

• Anuncie prefixos não contíguos para VPN e ExpressRoute. Se os intervalos de rede ligados à VPN não forem contíguos de outras redes ligadas do ExpressRoute, pode anunciar os prefixos nas sessões BGP da VPN e do ExpressRoute, respetivamente. Por exemplo, anuncie 10.0.0.0/24 através do ExpressRoute e 10.0.1.0/24 através de VPN.

Em ambos os exemplos, o Azure enviará tráfego para 10.0.1.0/24 através da ligação VPN em vez de diretamente através do ExpressRoute sem proteção VPN.

Aviso

Se anunciar os mesmos prefixos nas ligações ExpressRoute e VPN, o Azure utilizará o caminho do ExpressRoute diretamente sem proteção VPN.

Antes de começar

Antes de iniciar a configuração, verifique se cumpre os seguintes critérios:

• Se já tiver uma rede virtual à qual pretende ligar, verifique se nenhuma das sub-redes da sua rede no local se sobrepõe à mesma. A sua rede virtual não necessita de uma sub-rede de gateway e não pode ter gateways de rede virtual. Se não tiver uma rede virtual, pode criar uma com os passos neste artigo.
• Obtenha um intervalo de endereços IP para a região do seu hub. O hub é uma rede virtual e o intervalo de endereços que especificar para a região do hub não pode sobrepor-se a uma rede virtual existente à qual se liga. Também não pode sobrepor-se aos intervalos de endereços aos quais se liga no local. Se não estiver familiarizado com os intervalos de endereços IP localizados na configuração de rede no local, coordene com alguém que possa fornecer esses detalhes por si.
• Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

1. Criar uma WAN virtual e um hub com gateways

Os seguintes recursos do Azure e as configurações no local correspondentes têm de estar implementados antes de continuar:

• Uma WAN virtual do Azure.
• Um hub de WAN virtual com um gateway do ExpressRoute e um gateway de VPN.

Para obter os passos para criar uma WAN virtual do Azure e um hub com uma associação do ExpressRoute, veja Criar uma associação do ExpressRoute com o Azure WAN Virtual. Para obter os passos para criar um gateway de VPN na WAN virtual, veja Criar uma ligação site a site com o Azure WAN Virtual.

2. Criar um site para a rede no local

O recurso do site é o mesmo que os sites de VPN que não são do ExpressRoute para uma WAN virtual. O endereço IP do dispositivo VPN no local pode agora ser um endereço IP privado ou um endereço IP público na rede no local acessível através do peering privado do ExpressRoute criado no passo 1.

Nota

O endereço IP do dispositivo VPN no local tem de fazer parte dos prefixos de endereço anunciados no hub da WAN virtual através do peering privado do Azure ExpressRoute.

1. Aceda a Os sites de VPN Da SuaVirtualWAN > e crie um site para a sua rede no local. Para obter os passos básicos, consulte Criar um site. Tenha em atenção os seguintes valores de definições:

   • Protocolo Border Gateway: selecione "Ativar" se a sua rede no local utilizar o BGP.
   • Espaço de endereços privados: introduza o espaço de endereços IP localizado no seu site no local. O tráfego destinado a este espaço de endereços é encaminhado para a rede no local através do gateway de VPN.

2. Selecione Ligações para adicionar informações sobre as ligações físicas. Tenha em atenção as seguintes informações de definições:

   • Nome do Fornecedor: o nome do fornecedor de serviços Internet para este site. Para uma rede no local do ExpressRoute, é o nome do fornecedor de serviços do ExpressRoute.

   • Velocidade: a velocidade da ligação do serviço de Internet ou do circuito do ExpressRoute.

   • Endereço IP: o endereço IP público do dispositivo VPN que reside no seu site no local. Em alternativa, para o ExpressRoute no local, é o endereço IP privado do dispositivo VPN através do ExpressRoute.

   • Se o BGP estiver ativado, aplica-se a todas as ligações criadas para este site no Azure. Configurar o BGP numa WAN virtual é equivalente a configurar o BGP num gateway de VPN do Azure.

   • O seu endereço de elemento da rede BGP no local não pode ser o mesmo que o endereço IP da VPN para o dispositivo ou o espaço de endereços de rede virtual do site VPN. Utilize um endereço IP diferente no dispositivo VPN do IP do elemento de rede BGP. Pode ser um endereço atribuído à interface de loopback no dispositivo. No entanto, não pode ser uma APIPA (169.254.x. x) endereço. Especifique este endereço no site VPN correspondente que representa a localização. Para obter os pré-requisitos do BGP, veja Acerca do BGP com o Azure Gateway de VPN.

3. Selecione Seguinte: Rever + criar > para verificar os valores de definição e criar o site VPN e, em seguida, Criar o site.

4. Em seguida, ligue o site ao hub com estes Passos básicos como orientação. A atualização do gateway pode demorar até 30 minutos.

3. Atualize a definição de ligação VPN para utilizar o ExpressRoute

Depois de criar o site VPN e ligar ao hub, utilize os seguintes passos para configurar a ligação para utilizar o peering privado do ExpressRoute:

1. Aceda ao hub virtual. Pode fazê-lo acedendo ao WAN Virtual e selecionando o hub para abrir a página do hub ou pode aceder ao hub virtual ligado a partir do site VPN.

2. Em Conectividade, selecione VPN (Site a Site).

3. Selecione as reticências (...) ou clique com o botão direito do rato no site VPN através do ExpressRoute e selecione Editar ligação VPN a este hub.

4. Na página Noções básicas , deixe as predefinições.

5. Na página Ligação 1 , configure as seguintes definições:

   • Para Utilizar o Endereço IP Privado do Azure, selecione Sim. A definição configura o gateway de VPN do hub para utilizar endereços IP privados dentro do intervalo de endereços do hub no gateway para esta ligação, em vez dos endereços IP públicos. Isto garante que o tráfego da rede no local atravessa os caminhos de peering privado do ExpressRoute em vez de utilizar a Internet pública para esta ligação VPN.

6. Clique em Criar para atualizar as definições. Após a criação das definições, o gateway de VPN do hub utilizará os endereços IP privados no gateway de VPN para estabelecer as ligações IPsec/IKE com o dispositivo VPN no local através do ExpressRoute.

4. Obter os endereços IP privados do gateway de VPN do hub

Transfira a configuração do dispositivo VPN para obter os endereços IP privados do gateway de VPN do hub. Precisa destes endereços para configurar o dispositivo VPN no local.

1. Na página do hub, selecione VPN (Site a Site) em Conectividade.

2. Na parte superior da página Descrição Geral , selecione Transferir Configuração de VPN.

   O Azure cria uma conta de armazenamento no grupo de recursos "microsoft-network-[location]", onde a localização é a localização da WAN. Depois de aplicar a configuração aos seus dispositivos VPN, pode eliminar esta conta de armazenamento.

3. Depois de criar o ficheiro, selecione a ligação para o transferir.

4. Aplique a configuração ao dispositivo VPN.

Ficheiro de configuração do dispositivo VPN

O ficheiro de configuração do dispositivo contém as definições a utilizar quando estiver a configurar o seu dispositivo VPN no local. Quando vir este ficheiro, repare nas informações seguintes:

• vpnSiteConfiguration: esta secção indica os detalhes do dispositivo configurados como um site que está a ligar à WAN virtual. Inclui o nome e o endereço IP público do dispositivo de ramo.

• vpnSiteConnections: esta secção fornece informações sobre as seguintes definições:

  • Espaço de endereços da rede virtual do hub virtual.
    Exemplo: "AddressSpace":"10.51.230.0/24"
  • Espaço de endereços das redes virtuais que estão ligadas ao hub.
    Exemplo: "ConnectedSubnets":["10.51.231.0/24"]
  • Endereços IP do gateway de VPN do hub virtual. Uma vez que cada ligação do gateway de VPN é composta por dois túneis na configuração ativa-ativa, verá ambos os endereços IP listados neste ficheiro. Neste exemplo, verá Instance0 e Instance1 para cada site e são endereços IP privados em vez de endereços IP públicos.
    Exemplo: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
  • Detalhes de configuração para a ligação do gateway de VPN, como BGP e chave pré-partilhada. A chave pré-partilhada é gerada automaticamente. Pode sempre editar a ligação na página Descrição geral de uma chave pré-partilhada personalizada.

Exemplo de ficheiro de configuração de dispositivo

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

Configurar o dispositivo VPN

Se precisar de instruções para configurar o dispositivo, pode utilizar as instruções na página VPN device configuration scripts (Scripts de configuração de dispositivos VPN), tendo em conta os seguintes avisos:

• As instruções na página do dispositivo VPN não são escritas para uma WAN virtual. Mas pode utilizar os valores wan virtual do ficheiro de configuração para configurar manualmente o seu dispositivo VPN.
• Os scripts de configuração do dispositivo transferíveis para o gateway de VPN não funcionam para a WAN virtual, porque a configuração é diferente.
• Uma nova WAN virtual pode suportar IKEv1 e IKEv2.
• Uma WAN virtual só pode utilizar dispositivos VPN baseados em rotas e instruções do dispositivo.

5. Ver a WAN virtual

1. Aceda à WAN virtual.
2. Na página Descrição geral , cada ponto no mapa representa um hub.
3. Na secção Hubs e ligações , pode ver o hub, o site, a região e o estado da ligação VPN. Também pode ver bytes dentro e fora.

6. Monitorizar uma ligação

Crie uma ligação para monitorizar a comunicação entre uma máquina virtual (VM) do Azure e um site remoto. Para obter informações sobre como configurar um monitor de ligação, veja Monitorizar a comunicação de rede. O campo de origem é o IP da VM no Azure e o IP de destino é o IP do site.

7. Limpar recursos

Quando já não precisar destes recursos, pode utilizar Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos que contém. Execute o seguinte comando do PowerShell e substitua myResourceGroup pelo nome do seu grupo de recursos:

Remove-AzResourceGroup -Name myResourceGroup -Force

Passos seguintes

Este artigo ajuda-o a criar uma ligação VPN através do peering privado do ExpressRoute com WAN Virtual. Para saber mais sobre WAN Virtual e funcionalidades relacionadas, consulte a descrição geral do WAN Virtual.