Azure VMware Çözümü için vWAN'da siteden siteye VPN yapılandırma

  • Makale

Bu makalede, Microsoft Azure Sanal WAN hub'ında sonlandıran bir VPN (IPsec IKEv1 ve IKEv2) siteden siteye tünel oluşturacaksınız. Hub, Azure VMware Çözümü ExpressRoute ağ geçidini ve siteden siteye VPN ağ geçidini içerir. Bir şirket içi VPN cihazını Azure VMware Çözümü uç noktasına bağlar.

VPN siteden siteye tünel mimarisini gösteren diyagram.

Önkoşullar

Şirket içi VPN cihazında sonlandıran genel kullanıma yönelik bir IP adresiniz olmalıdır.

Azure Sanal WAN oluşturma

  1. Portaldaki Kaynak ara çubuğuna arama kutusuna Sanal WAN yazın ve Enter tuşuna basın.

  2. Sonuçlardan Sanal WAN'ler'i seçin. Sanal WAN'ler sayfasında + Oluştur'u seçerek WAN Oluştur sayfasını açın.

  3. WAN Oluştur sayfasındaki Temel Bilgiler sekmesinde alanları doldurun. Ortamınıza uygulamak için örnek değerleri değiştirin.

    Temel Bilgiler sekmesinin seçili olduğu WAN Oluştur bölmesini gösteren ekran görüntüsü.

    • Abonelik: Kullanmak istediğiniz aboneliği seçin.
    • Kaynak grubu: Yeni oluşturun veya var olanı kullanın.
    • Kaynak grubu konumu: Açılan listeden bir kaynak konumu seçin. WAN genel bir kaynaktır ve belirli bir bölgede yaşamıyor. Ancak, oluşturduğunuz WAN kaynağını yönetmek ve bulmak için bir bölge seçmeniz gerekir.
    • Ad: Sanal WAN'ınızı çağırmak istediğiniz Adı yazın.
    • Tür: Temel veya Standart. Standart'ı seçin. Temel'i seçerseniz, Temel sanal WAN'ların yalnızca Temel hub'lar içerebileceğini anlayın. Temel hub'lar yalnızca siteden siteye bağlantılar için kullanılabilir.

  4. Alanları doldurmayı bitirdikten sonra, sayfanın en altında Gözden Geçir +Oluştur'u seçin.

  5. Doğrulama başarılı olduktan sonra Oluştur'a tıklayarak sanal WAN'ı oluşturun.

Sanal hub oluşturma

Sanal hub, Sanal WAN tarafından oluşturulan ve kullanılan bir sanal ağdır. Bir bölgedeki Sanal WAN ağınızın temelidir. Siteden siteye ve ExpressRoute için ağ geçitleri içerebilir.

İpucu

Ayrıca var olan bir hub'da bir ağ geçidi oluşturabilirsiniz.

  1. Oluşturduğunuz sanal WAN'a gidin. Sanal WAN sayfasının sol bölmesindeki Bağlantı'nın altında Hub'lar'ı seçin.

  2. Hubs sayfasında +Yeni Hub'ı seçerek Sanal hub oluştur sayfasını açın.

    Temel Bilgiler sekmesinin seçili olduğu Sanal hub oluştur bölmesini gösteren ekran görüntüsü.

  3. Sanal hub oluştur sayfasında Temel Bilgiler sekmesinde aşağıdaki alanları doldurun:

    • Bölge: Sanal hub'ı dağıtmak istediğiniz bölgeyi seçin.
    • Ad: Sanal hub'ın bilinmesini istediğiniz ad.
    • Hub özel adres alanı: Hub'ın CIDR gösterimindeki adres aralığı. Hub oluşturmak için en düşük adres alanı /24'dür.
    • Sanal hub kapasitesi: Açılan listeden seçim yapın. Daha fazla bilgi için bkz . Sanal hub ayarları.
    • Hub yönlendirme tercihi: Varsayılan olarak bırakın. Daha fazla bilgi için bkz . Sanal hub yönlendirme tercihi.

VPN ağ geçidi oluşturma

  1. Sanal hub oluştur sayfasında, Siteden siteye sekmesini açmak için Siteden siteye'ye tıklayın.

    Siteden siteye seçeneğinin seçili olduğu Sanal hub oluştur bölmesini gösteren ekran görüntüsü.

  2. Siteden siteye sekmesinde aşağıdaki alanları doldurun:

    • Siteden siteye VPN oluşturmak için Evet'i seçin.

    • AS Numarası: AS Numarası alanı düzenlenemez.

    • Ağ geçidi ölçek birimleri: Açılan listeden Ağ geçidi ölçek birimleri değerini seçin. Ölçek birimi, siteleri bağlamak için sanal hub'da oluşturulan VPN ağ geçidinin toplam aktarım hızını seçmenize olanak tanır.

      1 ölçek birimi = 500 Mb/sn seçerseniz, her biri en yüksek aktarım hızı 500 Mb/sn olan iki yedeklilik örneği oluşturulacağı anlamına gelir. Örneğin, her biri dalda 10 Mb/sn yapan beş dal varsa, baş uçta 50 Mb/sn toplamanız gerekir. Azure VPN ağ geçidinin toplam kapasitesi planlaması, hub'a dal sayısını desteklemek için gereken kapasite değerlendirildikten sonra yapılmalıdır.

    • Yönlendirme tercihi: Azure yönlendirme tercihi, trafiğinizin Azure ile İnternet arasında nasıl yönlendirileceğini seçmenize olanak tanır. Trafiği Microsoft ağı veya ISS ağı (genel İnternet) üzerinden yönlendirmeyi seçebilirsiniz. Bu seçenekler sırasıyla soğuk patates yönlendirme ve sıcak patates yönlendirme olarak da adlandırılır.

      Sanal WAN'daki genel IP adresi, seçilen yönlendirme seçeneğine bağlı olarak hizmet tarafından atanır. Microsoft ağı veya ISS aracılığıyla yönlendirme tercihi hakkında daha fazla bilgi için Yönlendirme tercihi makalesine bakın.

  3. Doğrulamak için Gözden Geçir + Oluştur'u seçin.

  4. Hub'ı ve ağ geçidini oluşturmak için Oluştur'u seçin. Bu işlem 30 dakika sürebilir. 30 dakika sonra Hubs sayfasında hub'ı görüntülemek için yenileyin. Kaynağa gitmek için Kaynağa git'i seçin.

Siteden siteye VPN oluşturma

  1. Azure portal daha önce oluşturduğunuz sanal WAN'ı seçin.

  2. Sanal hub'a genel bakış bölümünde Bağlantı>VPN (Siteden siteye)>Yeni VPN sitesi oluştur'u seçin.

    VPN (siteden siteye) ve Yeni VPN sitesi oluştur'un seçili olduğu sanal hub'ın Genel Bakış sayfasının ekran görüntüsü.

  3. Temel Bilgiler sekmesinde gerekli alanları girin.

    Temel Bilgiler sekmesinin açık olduğu VPN sitesi oluştur sayfasını gösteren ekran görüntüsü.

    • Bölge - Daha önce konum olarak adlandırılır. Bu site kaynağını oluşturmak istediğiniz konumdur.

    • Ad - Şirket içi sitenize başvurmak istediğiniz ad.

    • Cihaz satıcısı - VPN cihazı satıcısının adı, örneğin Citrix, Cisco veya Barracuda. Gelecekte daha fazla iyileştirme olanağı eklemek veya sorun gidermenize yardımcı olmak için Azure Ekibinin ortamınızı daha iyi anlamasına yardımcı olur.

    • Özel adres alanı - Şirket içi sitenizde bulunan CIDR IP adresi alanı. Bu adres alanını hedefleyen trafik yerel sitenize yönlendirilir. CIDR bloğu yalnızca site için BGP etkinleştirilmemişse gereklidir.

    Not

    Siteyi oluşturduktan sonra adres alanını düzenlerseniz (örneğin, ek bir adres alanı eklerseniz), bileşenler yeniden oluşturulurken geçerli yolların güncelleştirilmiş olması 8-10 dakika sürebilir.

  4. Daldaki fiziksel bağlantılar hakkında bilgi eklemek için Bağlantılar'ı seçin. Sanal WAN iş ortağı CPE cihazınız varsa, bu bilgilerin sistemlerinden ayarlanan dal bilgileri karşıya yükleme işleminin bir parçası olarak Azure ile değiş tokuş edip etmediğini görmek için onlarla birlikte denetleyin.

    Bağlantı ve sağlayıcı adlarının belirtilmesi, sonunda hub'ın bir parçası olarak oluşturulabilecek herhangi bir sayıda ağ geçidi arasında ayrım yapmanızı sağlar. BGP ve otonom sistem numarası (ASN) kuruluşunuzun içinde benzersiz olmalıdır. BGP, hem Azure VMware Çözümü hem de şirket içi sunucuların yollarını tünel boyunca tanıtmasını sağlar. Devre dışı bırakılırsa tanıtılması gereken alt ağlar el ile korunmalıdır. Alt ağlar kaçırılırsa, HCX hizmet ağı oluşturamıyor.

    Önemli

    Varsayılan olarak Azure, GatewaySubnet ön ek aralığından Azure VPN ağ geçidinde Azure BGP IP adresi olarak otomatik olarak bir özel IP adresi atar. Şirket içi VPN cihazlarınız BGP IP olarak bir APIPA adresi (169.254.0.1 - 169.254.255.254) kullandığında özel Azure APIPA BGP adresi gereklidir. Azure VPN Gateway, karşılık gelen yerel ağ geçidi kaynağının (şirket içi ağ) BGP eş IP'si olarak bir APIPA adresine sahip olması durumunda özel APIPA adresini seçer. Yerel ağ geçidi normal bir IP adresi kullanıyorsa (APIPA değil), Azure VPN Gateway GatewaySubnet aralığından özel IP adresine geri döner.

    Bağlantılar sekmesinin açık olduğu VPN sitesi oluştur sayfasını gösteren ekran görüntüsü.

  5. Gözden geçir ve oluştur’u seçin.

  6. İstediğiniz sanal hub'a gidin ve VPN sitenizi hub'a bağlamak için Hub ilişkilendirmesinin seçimini kaldırın.

    Bu hub'a bağlan'ı gösteren ekran görüntüsü.

(İsteğe bağlı) İlke tabanlı VPN siteden siteye tüneller oluşturma

Önemli

Bu isteğe bağlı bir adımdır ve yalnızca ilke tabanlı VPN'ler için geçerlidir.

İlke tabanlı VPN kurulumları, merkez aralıkları da dahil olmak üzere şirket içi ve Azure VMware Çözümü ağlarının belirtilmesi gerekir. Bu aralıklar, ilke tabanlı VPN tüneli şirket içi uç noktasının şifreleme etki alanını belirtir. Azure VMware Çözümü tarafı yalnızca ilke tabanlı trafik seçici göstergesinin etkinleştirilmesini gerektirir.

  1. Azure portal Sanal WAN hub sitenize gidin ve Bağlantı'nın altında VPN (Siteden siteye) öğesini seçin.

  2. Özel bir IPsec ilkesi ayarlamak istediğiniz VPN Sitesini seçin.

    Müşteri IPSec ilkelerini ayarlamak için mevcut VPN sitelerini gösteren ekran görüntüsü.

  3. VPN sitenizin adını seçin, sağ uçta Diğer (...) öğesini ve ardından VPN Bağlantısını Düzenle'yi seçin.

    Mevcut bir VPN sitesinin bağlam menüsünü gösteren ekran görüntüsü.

    • İnternet Protokolü Güvenliği (IPSec), Özel'i seçin.

    • İlke tabanlı trafik seçiciyi kullanın, Etkinleştir'i seçin

    • IKE Aşama 1 ve IKE Aşama 2(ipsec) için ayrıntıları belirtin.

  4. IPsec ayarını varsayılan olarak özel olarak değiştirin ve IPsec ilkesini özelleştirin. Sonra Kaydet'i seçin.

    Mevcut VPN sitelerini gösteren ekran görüntüsü.

    İlke tabanlı şifreleme etki alanının parçası olan trafik seçicileriniz veya alt ağlarınız şunlar olmalıdır:

    • Sanal WAN hub/24

    • Özel bulut Azure VMware Çözümü/22

    • Bağlı Azure sanal ağı (varsa)

VPN sitenizi hub'a bağlama

  1. VPN sitenizin adını ve ardından VPN sitelerini bağla'yı seçin.

  2. Önceden paylaşılan anahtar alanına, şirket içi uç noktası için önceden tanımlanmış olan anahtarı girin.

    İpucu

    Önceden tanımlanmış bir anahtarınız yoksa, bu alanı boş bırakabilirsiniz. Sizin için otomatik olarak bir anahtar oluşturulur.

    Sanal HUB'ın Önceden paylaşılan anahtar ve ilişkili ayarlar için hazır olan Bağlı Siteler bölmesini gösteren ekran görüntüsü.

  3. Hub'da bir güvenlik duvarı dağıtıyorsanız ve sonraki atlama buysa Varsayılan Yolu Yay seçeneğini Etkinleştir olarak ayarlayın.

    Etkinleştirildiğinde, Sanal WAN hub'ı yalnızca hub hub'da bir güvenlik duvarı dağıtırken varsayılan yolu zaten öğrenmişse veya başka bir bağlı site zorlamalı tünel etkinleştirilmişse bir bağlantıya yayılır. Varsayılan yol Sanal WAN hub'ında kaynaklanmaz.

  4. Bağlan’ı seçin. Birkaç dakika sonra site bağlantı ve bağlantı durumunu gösterir.

    Siteden siteye bağlantıyı ve bağlantı durumunu gösteren ekran görüntüsü.

    Bağlantı Durumu: VPN sitesini Azure hub'ının VPN ağ geçidine bağlayan bağlantı için Azure kaynağının durumu. Bu denetim düzlemi işlemi başarılı olduktan sonra Azure VPN ağ geçidi ve şirket içi VPN cihazı bağlantı kurar.

    Bağlantı Durumu: Merkez ile VPN sitesindeki Azure'ın VPN ağ geçidi arasında gerçek bağlantı (veri yolu) durumu. Aşağıdaki durumlardan herhangi birini gösterebilir:

    • Bilinmiyor: Genellikle arka uç sistemlerinin başka bir duruma geçmek için çalışıp çalışmamaya çalıştığı görülür.
    • Bağlanma: Azure VPN ağ geçidi gerçek şirket içi VPN sitesine ulaşmaya çalışıyor.
    • Bağlı: Azure VPN ağ geçidi ile şirket içi VPN sitesi arasında bağlantı kuruldu.
    • Bağlantısı kesildi: Genellikle herhangi bir nedenle (şirket içi veya Azure'da) bağlantı kesildiğinde görülür

  5. VPN yapılandırma dosyasını indirin ve şirket içi uç noktasına uygulayın.

    1. VPN (Siteden siteye) sayfasında, üst kısımdaki VPN Config'i İndir'i seçin. Azure, 'microsoft-network-[location]' kaynak grubunda bir depolama hesabı oluşturur; burada konum WAN'ın konumudur. Yapılandırmayı VPN cihazlarınıza uyguladıktan sonra bu depolama hesabını silebilirsiniz.

    2. Oluşturulduktan sonra, indirmek için bağlantıyı seçin.

    3. Yapılandırmayı şirket içi VPN cihazınıza uygulayın.

    Yapılandırma dosyası hakkında daha fazla bilgi için bkz. VPN cihazı yapılandırma dosyası hakkında.

  6. Sanal WAN hub'ında Azure VMware Çözümü ExpressRoute'a düzeltme eki uygulama.

    Önemli

    Platforma düzeltme eki uygulamadan önce özel bir bulut oluşturmanız gerekir.

    1. Azure portal Azure VMware Çözümü özel buluta gidin. Bağlantı>ExpressRoute'uYönet'i> ve ardından + Yetkilendirme anahtarı iste'yi seçin.

      ExpressRoute yetkilendirme anahtarı isteme adımlarını gösteren ekran görüntüsü.

    2. Bunun için bir ad girin ve Oluştur'u seçin.

      Anahtarın oluşturulması yaklaşık 30 saniye sürebilir. Yeni anahtar oluşturulduktan sonra özel bulut için yetkilendirme anahtarları listesinde görünür.

      ExpressRoute Global Reach yetkilendirme anahtarını gösteren ekran görüntüsü.

    3. Yetkilendirme anahtarını ve ExpressRoute Kimliğini kopyalayın. Eşlemeyi tamamlamak için bunlara ihtiyacınız olacaktır. Yetkilendirme anahtarı bir süre sonra kaybolur, bu nedenle göründüğü anda kopyalayın.

  7. Azure VMware Çözümü ve VPN ağ geçidini Sanal WAN hub'ında birbirine bağlayın. Önceki adımdaki yetkilendirme anahtarını ve ExpressRoute Kimliğini (eş bağlantı hattı URI'si) kullanacaksınız.

    1. ExpressRoute ağ geçidinizi ve ardından Yetkilendirme anahtarını kullan'ı seçin.

      Yetkilendirme anahtarını kullan'ın seçili olduğu özel bulut için ExpressRoute sayfasının ekran görüntüsü.

    2. Yetkilendirme anahtarını Yetkilendirme Anahtarı alanına yapıştırın.

    3. ExpressRoute Kimliğini Eş bağlantı hattı URI'si alanına yapıştırın.

    4. Bu ExpressRoute bağlantı hattını merkezle otomatik olarak ilişkilendir onay kutusunu seçin.

    5. Bağlantıyı oluşturmak için Ekle'yi seçin.

  8. NSX-T Veri Merkezi segmenti oluşturup ağda bir VM sağlayarak bağlantınızı test edin. Hem şirket içi hem de Azure VMware Çözümü uç noktalarına ping atabilirsiniz.

    Not

    ExpressRoute bağlantı hattınızın arkasındaki istemciden (örneğin, daha önce oluşturduğunuz sanal ağdaki bir VM) bağlantıyı test etmeden önce yaklaşık 5 dakika bekleyin.