vWAN'da Azure VMware Çözümü için siteden siteye VPN yapılandırma
Bu makalede, Microsoft Azure Sanal WAN hub'ında sonlandıran bir VPN (IPsec IKEv1 ve IKEv2) siteden siteye tünel oluşturmayı öğrenin. Hub Azure VMware Çözümü ExpressRoute ağ geçidini ve siteden siteye VPN ağ geçidini içerir. Bir şirket içi VPN cihazını Azure VMware Çözümü uç noktasına bağlar.
Önkoşullar
Şirket içi VPN cihazında sonlandıran genel kullanıma yönelik bir IP adresiniz olmalıdır.
Azure Sanal WAN oluşturma
Portalda, Kaynak ara çubuğuna arama kutusuna Sanal WAN yazın ve Enter tuşuna basın.
Sonuçlardan Sanal WAN seçin. Sanal WAN sayfasında + Oluştur'u seçerek WAN Oluştur sayfasını açın.
WAN Oluştur sayfasının Temel Bilgiler sekmesinde alanları doldurun. Örnek değerleri ortamınıza uygulanacak şekilde değiştirin.
- Abonelik: Kullanmak istediğiniz aboneliği seçin.
- Kaynak grubu: Yeni oluşturun veya var olanı kullanın.
- Kaynak grubu konumu: Açılan listeden bir kaynak konumu seçin. WAN genel bir kaynaktır ve belirli bir bölgede yaşamıyor. Ancak, oluşturduğunuz WAN kaynağını yönetmek ve bulmak için bir bölge seçmeniz gerekir.
- Ad: Sanal WAN'ınızı çağırmak istediğiniz Adı yazın.
- Tür: Temel veya Standart. Standart'ı seçin. Temel'i seçerseniz, Temel sanal WAN'lerin yalnızca Temel hub'lar içerebileceğini anlayın. Temel hub'lar yalnızca siteden siteye bağlantılar için kullanılabilir.
Alanları doldurmayı bitirdikten sonra, sayfanın en altında Gözden Geçir +Oluştur'u seçin.
Doğrulama geçtikten sonra Sanal WAN'ı oluşturmak için Oluştur'a tıklayın.
Sanal hub oluşturma
Sanal hub, Azure Sanal WAN tarafından oluşturulan ve kullanılan bir sanal ağdır. Bir bölgedeki Sanal WAN ağınızın çekirdeğidir. Siteden siteye ve ExpressRoute için ağ geçitleri içerebilir.
İpucu
Ayrıca mevcut bir hub'da bir ağ geçidi oluşturabilirsiniz.
Oluşturduğunuz sanal WAN'a gidin. Sanal WAN sayfasının sol bölmesindeki Bağlantı'nın altında Hub'lar'ı seçin.
Hubs sayfasında +Yeni Hub'ı seçerek Sanal hub oluştur sayfasını açın.
Sanal hub oluştur sayfasında Temel Bilgiler sekmesinde aşağıdaki alanları doldurun:
- Bölge: Sanal hub'ı dağıtmak istediğiniz bölgeyi seçin.
- Ad: Sanal hub'ın bilinmesini istediğiniz ad.
- Hub özel adres alanı: Hub'ın CIDR gösterimindeki adres aralığı. Hub oluşturmak için en düşük adres alanı /24'dür.
- Sanal hub kapasitesi: Açılan listeden seçin. Daha fazla bilgi için bkz . Sanal hub ayarları.
- Hub yönlendirme tercihi: Varsayılan olarak bırakın. Daha fazla bilgi için bkz . Sanal hub yönlendirme tercihi.
VPN ağ geçidi oluşturma
Siteden siteye sekmesini açmak için Sanal hub oluştur sayfasında Siteden siteye'ye tıklayın.
Siteden siteye sekmesinde aşağıdaki alanları doldurun:
Siteden siteye VPN oluşturmak için Evet'i seçin.
AS Numarası: AS Numarası alanı düzenlenemez.
Ağ geçidi ölçek birimleri: Açılan listeden Ağ geçidi ölçek birimleri değerini seçin. Ölçek birimi, siteleri bağlamak için sanal hub'da oluşturulan VPN ağ geçidinin toplam aktarım hızını seçmenize olanak tanır.
1 ölçek birimi = 500 Mb/sn seçersensiniz, her biri en yüksek aktarım hızı 500 Mb/sn olan iki yedeklilik örneği oluşturulacağı anlamına gelir. Örneğin, her biri dalda 10 Mb/sn alan beş dalınız varsa, baş uçta 50 Mb/sn toplamanız gerekir. Azure VPN ağ geçidinin toplam kapasitesi planlaması, hub'a dal sayısını desteklemek için gereken kapasite değerlendirildikten sonra yapılmalıdır.
Yönlendirme tercihi: Azure yönlendirme tercihi, trafiğinizin Azure ile İnternet arasında nasıl yönlendirileceğini seçmenizi sağlar. Trafiği Microsoft ağı veya ISS ağı (genel İnternet) üzerinden yönlendirmeyi seçebilirsiniz. Bu seçenekler sırasıyla soğuk patates yönlendirme ve sıcak patates yönlendirme olarak da adlandırılır.
Sanal WAN'deki genel IP adresi, seçilen yönlendirme seçeneğine bağlı olarak hizmet tarafından atanır. Microsoft ağı veya ISS aracılığıyla yönlendirme tercihi hakkında daha fazla bilgi için Yönlendirme tercihi makalesine bakın.
Doğrulamak için Gözden Geçir + Oluştur'u seçin.
Hub'ı ve ağ geçidini oluşturmak için Oluştur'u seçin. Bu işlem 30 dakika sürebilir. 30 dakika sonra Hubs sayfasında hub'ı görüntülemek için yenileyin. Kaynağa gitmek için Kaynağa git'i seçin.
Siteden siteye VPN oluşturma
Azure portalında daha önce oluşturduğunuz sanal WAN'ı seçin.
Sanal hub'a genel bakış bölümünde Bağlantı>VPN'i (Siteden siteye)Yeni VPN sitesi oluştur'u> seçin.
Temel Bilgiler sekmesinde gerekli alanları girin.
Bölge - Daha önce konum olarak adlandırılır. Bu site kaynağını oluşturmak istediğiniz konumdur.
Ad - Şirket içi sitenize başvurmak istediğiniz ad.
Cihaz satıcısı - VPN cihazı satıcısının adı, örneğin Citrix, Cisco veya Barracuda. Gelecekte daha fazla iyileştirme olanağı eklemek veya sorun gidermenize yardımcı olmak için Azure Ekibi'nin ortamınızı daha iyi anlamasına yardımcı olur.
Özel adres alanı - Şirket içi sitenizde bulunan CIDR IP adresi alanı. Bu adres alanını hedefleyen trafik yerel sitenize yönlendirilir. CIDR bloğu yalnızca bgp site için etkinleştirilmemişse gereklidir.
Not
Siteyi oluşturduktan sonra adres alanını düzenlerseniz (örneğin, ek bir adres alanı eklerseniz), bileşenler yeniden oluşturulurken geçerli yolların güncelleştirilmiş olması 8-10 dakika sürebilir.
Daldaki fiziksel bağlantılar hakkında bilgi eklemek için Bağlantılar'ı seçin. Sanal WAN iş ortağı CPE cihazınız varsa, bu bilgilerin sistemlerinden ayarlanan dal bilgileri karşıya yükleme işleminin bir parçası olarak Azure ile değiş tokuş edip etmediğini görmek için onlarla birlikte denetleyin.
Bağlantı ve sağlayıcı adlarının belirtilmesi, sonunda hub'ın bir parçası olarak oluşturulabilecek herhangi bir sayıda ağ geçidi arasında ayrım yapmanızı sağlar. BGP ve otonom sistem numarası (ASN) kuruluşunuzun içinde benzersiz olmalıdır. BGP, hem Azure VMware Çözümü hem de şirket içi sunucuların yollarını tünel boyunca tanıtmasını sağlar. Devre dışı bırakılırsa, tanıtılması gereken alt ağlar el ile korunmalıdır. Alt ağlar atlanırsa, HCX hizmet ağı oluşturamıyor.
Önemli
Varsayılan olarak Azure, GatewaySubnet ön ek aralığından Azure VPN ağ geçidinde Azure BGP IP adresi olarak otomatik olarak bir özel IP adresi atar. Şirket içi VPN cihazlarınız BGP IP olarak bir APIPA adresi (169.254.0.1 - 169.254.255.254) kullandığında özel Azure APIPA BGP adresi gereklidir. Azure VPN Gateway, karşılık gelen yerel ağ geçidi kaynağının (şirket içi ağ) BGP eş IP'si olarak bir APIPA adresine sahip olması durumunda özel APIPA adresini seçer. Yerel ağ geçidi normal bir IP adresi (APIPA değil) kullanıyorsa, Azure VPN Gateway Gateway GatewaySubnet aralığından özel IP adresine geri döner.
Gözden geçir ve oluştur’u seçin.
İstediğiniz sanal hub'a gidin ve VPN sitenizi hub'a bağlamak için Hub ilişkilendirmesinin seçimini kaldırın.
(İsteğe bağlı) İlke tabanlı VPN siteden siteye tüneller oluşturma
Önemli
Bu isteğe bağlı bir adımdır ve yalnızca ilke tabanlı VPN'ler için geçerlidir.
İlke tabanlı VPN kurulumları, merkez aralıkları dahil olmak üzere şirket içi ve Azure VMware Çözümü ağlarının belirtilmesi gerekir. Bu aralıklar, ilke tabanlı VPN tüneli şirket içi uç noktasının şifreleme etki alanını belirtir. Azure VMware Çözümü tarafı yalnızca ilke tabanlı trafik seçici göstergesinin etkinleştirilmesini gerektirir.
Azure portalında Sanal WAN hub sitenize gidin ve Bağlantı'nın altında VPN (Siteden siteye) öğesini seçin.
Özel IPsec ilkesi ayarlamak istediğiniz VPN Sitesini seçin.
VPN site adınızı seçin, en sağdan Diğer (...) öğesini ve ardından VPN Bağlantısını Düzenle'yi seçin.
İnternet Protokolü Güvenliği (IPSec), Özel'i seçin.
İlke tabanlı trafik seçiciyi kullanın, Etkinleştir'i seçin
IKE Aşama 1 ve IKE Aşama 2(ipsec) için ayrıntıları belirtin.
IPsec ayarını varsayılan olarak özel olarak değiştirin ve IPsec ilkesini özelleştirin. Ardından Kaydet'i seçin.
İlke tabanlı şifreleme etki alanının parçası olan trafik seçicileriniz veya alt ağlarınız şunlar olmalıdır:
Sanal WAN hub
/24
Özel bulut Azure VMware Çözümü
/22
Bağlı Azure sanal ağı (varsa)
VPN sitenizi hub'a bağlama
VPN sitenizin adını ve ardından VPN sitelerini bağla'yı seçin.
Önceden paylaşılan anahtar alanına, şirket içi uç nokta için önceden tanımlanmış olan anahtarı girin.
İpucu
Önceden tanımlanmış bir anahtarınız yoksa, bu alanı boş bırakabilirsiniz. Sizin için otomatik olarak bir anahtar oluşturulur.
Hub'da bir güvenlik duvarı dağıtıyorsanız ve sonraki atlama buysa Varsayılan Yolu Yay seçeneğini Etkinleştir olarak ayarlayın.
Etkinleştirildiğinde, Sanal WAN hub'ı yalnızca hub'da bir güvenlik duvarı dağıtırken varsayılan yolu zaten öğrendiyse veya başka bir bağlı site zorlamalı tüneli etkinleştirdiyse bir bağlantıya yayılır. Varsayılan yol Sanal WAN hub'ında kaynaklanmıyor.
Bağlan'ı seçin. Birkaç dakika sonra, site bağlantı ve bağlantı durumunu gösterir.
Bağlantı Durumu: VPN sitesini Azure hub'ının VPN ağ geçidine bağlayan bağlantının Azure kaynağının durumu. Bu denetim düzlemi işlemi başarılı olduktan sonra Azure VPN ağ geçidi ve şirket içi VPN cihazı bağlantı kurar.
Bağlantı Durumu: Merkez ile VPN sitesindeki Azure'ın VPN ağ geçidi arasındaki gerçek bağlantı (veri yolu) durumu. Aşağıdaki durumlardan herhangi birini gösterebilir:
- Bilinmiyor: Genellikle arka uç sistemlerinin başka bir duruma geçiş yapmak için çalışıp çalışmadiğini görürsünüz.
- Bağlanma: Azure VPN ağ geçidi gerçek şirket içi VPN sitesine ulaşmaya çalışıyor.
- Bağlı: Azure VPN ağ geçidi ile şirket içi VPN sitesi arasında bağlantı kuruldu.
- Bağlantısı kesildi: Genellikle herhangi bir nedenle (şirket içi veya Azure'da) bağlantının kesilmesi durumunda görülür
VPN yapılandırma dosyasını indirin ve şirket içi uç noktasına uygulayın.
VPN (Siteden siteye) sayfasında, üst kısımdaki VPN Config'i İndir'i seçin. Azure, 'microsoft-network-[location]' kaynak grubunda bir depolama hesabı oluşturur; burada konum WAN'ın konumudur. Yapılandırmayı VPN cihazlarınıza uyguladıktan sonra bu depolama hesabını silebilirsiniz.
Oluşturulduktan sonra indirmek için bağlantıyı seçin.
Yapılandırmayı şirket içi VPN cihazınıza uygulayın.
Yapılandırma dosyası hakkında daha fazla bilgi için bkz . VPN cihazı yapılandırma dosyası hakkında.
Sanal WAN hub'ında Azure VMware Çözümü ExpressRoute'a düzeltme eki uygulama.
Önemli
Platforma düzeltme eki uygulamadan önce özel bir bulut oluşturmanız gerekir.
Önemli
Ayrıca Sanal WAN Hub'ınızın bir parçası olarak yapılandırılmış bir ExpressRoute Ağ Geçidine sahip olmanız gerekir.
Azure portalında Azure VMware Çözümü özel buluta gidin.
Yönet'in altında Bağlantı'yı seçin.
ExpressRoute sekmesini ve ardından + Yetkilendirme anahtarı iste'yi seçin.
Yetkilendirme anahtarı için bir ad girin ve Oluştur'u seçin.
Anahtarın oluşturulması yaklaşık 30 saniye sürebilir. Anahtar oluşturulduktan sonra, özel bulut için yetkilendirme anahtarları listesinde görünür.
Yetkilendirme anahtarını ve ExpressRoute Kimliğini kopyalayın. Eşlemeyi tamamlamak için onlara ihtiyacınız var. Yetkilendirme anahtarı bir süre sonra kaybolur, bu nedenle göründüğü anda kopyalayın.
Azure VMware Çözümü ve VPN ağ geçidini Sanal WAN hub'ında birbirine bağlayın. Önceki adımdaki yetkilendirme anahtarını ve ExpressRoute Kimliğini (eş bağlantı hattı URI'si) kullanırsınız.
ExpressRoute ağ geçidinizi ve ardından Yetkilendirme anahtarını kullan'ı seçin.
Yetkilendirme anahtarını Yetkilendirme Anahtarı alanına yapıştırın.
ExpressRoute Kimliğini Eş bağlantı hattı URI'si alanına yapıştırın.
Bu ExpressRoute bağlantı hattını merkezle otomatik olarak ilişkilendir onay kutusunu seçin.
Bağlantıyı oluşturmak için Ekle'yi seçin.
NSX-T Veri Merkezi kesimi oluşturup ağda bir VM sağlayarak bağlantınızı test edin. Hem şirket içi hem de Azure VMware Çözümü uç noktalarına ping atabilirsiniz.
Not
ExpressRoute bağlantı hattınızın arkasındaki bir istemciden (örneğin, daha önce oluşturduğunuz sanal ağda bir VM) bağlantıyı test etmeden önce yaklaşık 5 dakika bekleyin.