ExpressRoute-kryptering: IPsec via ExpressRoute för Virtual WAN
Den här artikeln visar hur du använder Azure Virtual WAN för att upprätta en IPsec/IKE VPN-anslutning från ditt lokala nätverk till Azure via privat peering för en Azure ExpressRoute-krets. Den här tekniken kan tillhandahålla en krypterad överföring mellan de lokala nätverken och virtuella Azure-nätverk via ExpressRoute, utan att gå via det offentliga Internet eller använda offentliga IP-adresser.
Topologi och routning
Följande diagram visar ett exempel på VPN-anslutning via privat ExpressRoute-peering:
Diagrammet visar ett nätverk i det lokala nätverket som är anslutet till Azure Hub VPN-gatewayen via privat ExpressRoute-peering. Anslutningsetableringen är enkel:
- Upprätta ExpressRoute-anslutning med en ExpressRoute-krets och privat peering.
- Upprätta VPN-anslutningen enligt beskrivningen i den här artikeln.
En viktig aspekt av den här konfigurationen är routning mellan de lokala nätverken och Azure över både ExpressRoute- och VPN-sökvägarna.
Trafik från lokala nätverk till Azure
För trafik från lokala nätverk till Azure annonseras Azure-prefixen (inklusive den virtuella hubben och alla virtuella ekernätverk som är anslutna till hubben) via både den privata ExpressRoute-peering-BGP:n och VPN BGP. Detta resulterar i två nätverksvägar (sökvägar) mot Azure från de lokala nätverken:
- En över den IPsec-skyddade sökvägen
- En direkt via ExpressRoute utan IPsec-skydd
Om du vill tillämpa kryptering på kommunikationen måste du se till att Azure-vägarna via lokal VPN-gateway föredras framför den direkta ExpressRoute-sökvägen för det VPN-anslutna nätverket i diagrammet.
Trafik från Azure till lokala nätverk
Samma krav gäller för trafiken från Azure till lokala nätverk. För att säkerställa att IPsec-sökvägen föredras framför den direkta ExpressRoute-sökvägen (utan IPsec) har du två alternativ:
Annonsera mer specifika prefix i VPN BGP-sessionen för det VPN-anslutna nätverket. Du kan annonsera ett större intervall som omfattar det VPN-anslutna nätverket via privat ExpressRoute-peering och sedan mer specifika intervall i VPN BGP-sessionen. Annonsera till exempel 10.0.0.0/16 via ExpressRoute och 10.0.1.0/24 via VPN.
Annonsera disjoint-prefix för VPN och ExpressRoute. Om de VPN-anslutna nätverksintervallen skiljer sig från andra ExpressRoute-anslutna nätverk kan du annonsera prefixen i VPN- respektive ExpressRoute BGP-sessioner. Annonsera till exempel 10.0.0.0/24 via ExpressRoute och 10.0.1.0/24 via VPN.
I båda dessa exempel skickar Azure trafik till 10.0.1.0/24 via VPN-anslutningen i stället för direkt via ExpressRoute utan VPN-skydd.
Varning
Om du annonserar samma prefix för både ExpressRoute- och VPN-anslutningar använder Azure ExpressRoute-sökvägen direkt utan VPN-skydd.
Innan du börjar
Innan du startar konfigurationen kontrollerar du att du uppfyller följande kriterier:
- Om du redan har ett virtuellt nätverk som du vill ansluta till kontrollerar du att inget av undernäten i det lokala nätverket överlappar det. Det virtuella nätverket kräver inte ett gateway-undernät och kan inte ha några virtuella nätverksgatewayer. Om du inte har ett virtuellt nätverk kan du skapa ett med hjälp av stegen i den här artikeln.
- Hämta ett IP-adressintervall för din hubbregion. Hubben är ett virtuellt nätverk och adressintervallet som du anger för hubbregionen kan inte överlappa med ett befintligt virtuellt nätverk som du ansluter till. Det kan inte heller överlappa adressintervallen som du ansluter till lokalt. Om du inte känner till IP-adressintervallen som finns i din lokala nätverkskonfiguration kan du samordna med någon som kan ange den informationen åt dig.
- Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
1. Skapa ett virtuellt WAN och en hubb med gatewayer
Följande Azure-resurser och motsvarande lokala konfigurationer måste finnas på plats innan du fortsätter:
- Ett virtuellt Wan-nätverk i Azure.
- En virtuell WAN-hubb med en ExpressRoute-gateway och en VPN-gateway.
Stegen för att skapa ett virtuellt Azure WAN och en hubb med en ExpressRoute-association finns i Skapa en ExpressRoute-association med Hjälp av Azure Virtual WAN. Stegen för att skapa en VPN-gateway i det virtuella WAN :et finns i Skapa en plats-till-plats-anslutning med Azure Virtual WAN.
2. Skapa en plats för det lokala nätverket
Platsresursen är samma som VPN-platser som inte är ExpressRoute för ett virtuellt WAN. IP-adressen för den lokala VPN-enheten kan nu vara antingen en privat IP-adress eller en offentlig IP-adress i det lokala nätverket som kan nås via expressroute-privat peering som skapades i steg 1.
Kommentar
IP-adressen för den lokala VPN-enheten måste vara en del av adressprefixen som annonseras till den virtuella WAN-hubben via privat Peering i Azure ExpressRoute.
Gå till DinaVirtualWAN > VPN-platser och skapa en plats för ditt lokala nätverk. Grundläggande steg finns i Skapa en webbplats. Tänk på följande inställningsvärden:
- Border Gateway Protocol: Välj "Aktivera" om ditt lokala nätverk använder BGP.
- Privat adressutrymme: Ange DET IP-adressutrymme som finns på din lokala plats. Trafik som är avsedd för det här adressutrymmet dirigeras till det lokala nätverket via VPN-gatewayen.
Välj Länkar för att lägga till information om de fysiska länkarna. Tänk på följande inställningsinformation:
Providernamn: Namnet på internetleverantören för den här webbplatsen. För ett lokalt ExpressRoute-nätverk är det namnet på ExpressRoute-tjänstleverantören.
Hastighet: Hastigheten på internettjänstlänken eller ExpressRoute-kretsen.
IP-adress: Den offentliga IP-adressen för VPN-enheten som finns på din lokala plats. Eller för ExpressRoute lokalt är det VPN-enhetens privata IP-adress via ExpressRoute.
Om BGP är aktiverat gäller det för alla anslutningar som skapats för den här webbplatsen i Azure. Att konfigurera BGP på ett virtuellt WAN motsvarar att konfigurera BGP på en Azure VPN-gateway.
Din lokala BGP-peeradress får inte vara samma som IP-adressen för din VPN till enheten eller vpn-platsens virtuella nätverksadressutrymme. Använd en annan IP-adress som BGP-peeradress på VPN-enheten. Det kan vara en adress som tilldelats till loopback-gränssnittet på enheten. Det kan dock inte vara en APIPA (169.254.x.x) adress. Ange den här adressen på motsvarande VPN-plats som representerar platsen. BGP-krav finns i Om BGP med Azure VPN Gateway.
Välj Nästa: Granska + skapa > för att kontrollera inställningsvärdena och skapa VPN-platsen och sedan Skapa webbplatsen.
Anslut sedan webbplatsen till hubben med hjälp av dessa grundläggande steg som en riktlinje. Det kan ta upp till 30 minuter att uppdatera gatewayen.
3. Uppdatera VPN-anslutningsinställningen för att använda ExpressRoute
När du har skapat VPN-platsen och anslutit till hubben använder du följande steg för att konfigurera anslutningen så att den använder expressroute-privat peering:
Gå till den virtuella hubben. Du kan antingen göra detta genom att gå till Virtual WAN och välja hubben för att öppna hubbsidan, eller så kan du gå till den anslutna virtuella hubben från VPN-platsen.
Under Anslutning väljer du VPN (plats-till-plats).
Välj ellipsen (...) eller högerklicka på VPN-webbplatsen över ExpressRoute och välj Redigera VPN-anslutning till den här hubben.
På sidan Grundläggande lämnar du standardinställningarna.
På sidan Länkanslutning 1 konfigurerar du följande inställningar:
- För Använd privat IP-adress i Azure väljer du Ja. Inställningen konfigurerar hubb-VPN-gatewayen till att använda privata IP-adresser inom hubbadressintervallet på gatewayen för den här anslutningen i stället för de offentliga IP-adresserna. Detta säkerställer att trafiken från det lokala nätverket passerar de privata ExpressRoute-peeringsökvägarna i stället för att använda det offentliga Internet för den här VPN-anslutningen.
Klicka på Skapa för att uppdatera inställningarna. När inställningarna har skapats använder vpn-hubbgatewayen de privata IP-adresserna på VPN-gatewayen för att upprätta IPsec/IKE-anslutningarna med den lokala VPN-enheten via ExpressRoute.
4. Hämta de privata IP-adresserna för hubb-VPN-gatewayen
Ladda ned VPN-enhetskonfigurationen för att hämta de privata IP-adresserna för hubb-VPN-gatewayen. Du behöver dessa adresser för att konfigurera den lokala VPN-enheten.
På sidan för hubben väljer du VPN (plats-till-plats) under Anslutning.
Längst upp på översiktssidan väljer du Ladda ned VPN-konfiguration.
Azure skapar ett lagringskonto i resursgruppen "microsoft-network-[location]", där platsen är WAN-platsen. När du har tillämpat konfigurationen på dina VPN-enheter kan du ta bort det här lagringskontot.
När filen har skapats väljer du länken för att ladda ned den.
Tillämpa konfigurationen på VPN-enheten.
Konfigurationsfil för VPN-enhet
Enhetskonfigurationsfilen innehåller de inställningar som ska användas när du konfigurerar din lokala VPN-enhet. När du visar den här filen ser du följande information:
vpnSiteConfiguration: I det här avsnittet beskrivs enhetsinformationen som konfigurerats som en plats som ansluter till det virtuella WAN-nätverket. Den innehåller namnet och den offentliga IP-adressen för grenenheten.
vpnSiteConnections: Det här avsnittet innehåller information om följande inställningar:
- Adressutrymme för den virtuella hubbens virtuella nätverk.
Exempel:"AddressSpace":"10.51.230.0/24"
- Adressutrymme för de virtuella nätverk som är anslutna till hubben.
Exempel:"ConnectedSubnets":["10.51.231.0/24"]
- IP-adresser för den virtuella hubbens VPN-gateway. Eftersom varje anslutning till VPN-gatewayen består av två tunnlar i aktiv-aktiv konfiguration visas båda IP-adresserna i den här filen. I det här exemplet visas
Instance0
ochInstance1
för varje plats, och de är privata IP-adresser i stället för offentliga IP-adresser.
Exempel:"Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
- Konfigurationsinformation för VPN-gatewayanslutningen, till exempel BGP och i förväg delad nyckel. Den i förväg delade nyckeln genereras automatiskt åt dig. Du kan alltid redigera anslutningen på sidan Översikt för en anpassad i förväg delad nyckel.
- Adressutrymme för den virtuella hubbens virtuella nätverk.
Konfigurationsfil för exempelenhet
[{
"configurationVersion":{
"LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
"Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
},
"vpnSiteConfiguration":{
"Name":"VPN-over-ER-site",
"IPAddress":"172.24.127.211",
"LinkName":"VPN-over-ER"
},
"vpnSiteConnections":[{
"hubConfiguration":{
"AddressSpace":"10.51.230.0/24",
"Region":"West US 2",
"ConnectedSubnets":["10.51.231.0/24"]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"10.51.230.4",
"Instance1":"10.51.230.5"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"abc123",
"IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
}
}]
},
{
"configurationVersion":{
"LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
"Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
},
"vpnSiteConfiguration":{
"Name":"VPN-over-INet-site",
"IPAddress":"198.51.100.122",
"LinkName":"VPN-over-INet"
},
"vpnSiteConnections":[{
"hubConfiguration":{
"AddressSpace":"10.51.230.0/24",
"Region":"West US 2",
"ConnectedSubnets":["10.51.231.0/24"]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"203.0.113.186",
"Instance1":"203.0.113.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"abc123",
"IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
}
}]
}]
Konfigurera en VPN-enhet
Om du behöver anvisningar för att konfigurera enheten kan du använda instruktionerna på sidan om konfigurationsskript till VPN-enheter med följande förbehåll:
- Instruktionerna på VPN-enhetssidan är inte skrivna för ett virtuellt WAN. Men du kan använda virtuella WAN-värden från konfigurationsfilen för att konfigurera VPN-enheten manuellt.
- De nedladdningsbara enhetskonfigurationsskripten som används för VPN-gatewayen fungerar inte för det virtuella WAN-nätverket eftersom konfigurationen är annorlunda.
- Ett nytt virtuellt WAN kan stödja både IKEv1 och IKEv2.
- Ett virtuellt WAN kan endast använda routningsbaserade VPN-enheter och enhetsinstruktioner.
5. Visa ditt virtuella WAN
- Gå till det virtuella WAN-nätverket.
- På sidan Översikt representerar varje punkt på kartan en hubb.
- I avsnittet Hubbar och anslutningar kan du visa hubb-, plats-, region- och VPN-anslutningsstatus. Du kan också visa byte in och ut.
6. Övervaka en anslutning
Skapa en anslutning för att övervaka kommunikationen mellan en virtuell Azure-dator (VM) och en fjärrplats. Information om hur du ställer in en anslutningsövervakare finns i dokumentationen om att övervaka nätverkskommunikation. Källfältet är DEN virtuella datorns IP-adress i Azure och mål-IP-adressen är platsens IP-adress.
7. Rensa resurser
När du inte längre behöver dessa resurser kan du använda Remove-AzResourceGroup för att ta bort resursgruppen och alla resurser som den innehåller. Kör följande PowerShell-kommando och ersätt myResourceGroup
med namnet på resursgruppen:
Remove-AzResourceGroup -Name myResourceGroup -Force
Nästa steg
Den här artikeln hjälper dig att skapa en VPN-anslutning via privat ExpressRoute-peering med hjälp av Virtual WAN. Mer information om Virtual WAN och relaterade funktioner finns i Översikt över Virtual WAN.