ExpressRoute şifrelemesi: Sanal WAN için ExpressRoute üzerinden IPsec

Bu makalede, Azure ExpressRoute bağlantı hattının özel eşlemesi üzerinden şirket içi ağınızdan Azure'a IPsec/IKE VPN bağlantısı kurmak için Azure Sanal WAN nasıl kullanılacağı gösterilmektedir. Bu teknik, genel İnternet üzerinden gitmeden veya genel IP adresleri kullanmadan şirket içi ağlar ile ExpressRoute üzerinden Azure sanal ağları arasında şifrelenmiş bir geçiş sağlayabilir.

Topoloji ve yönlendirme

Aşağıdaki diyagramda ExpressRoute özel eşlemesi üzerinden VPN bağlantısı örneği gösterilmektedir:

ExpressRoute üzerinden VPN

Diyagramda, ExpressRoute özel eşlemesi üzerinden Azure hub VPN ağ geçidine bağlı şirket içi ağın içindeki bir ağ gösterilmektedir. Bağlantı kurulumu basittir:

  1. ExpressRoute bağlantı hattı ve özel eşleme ile ExpressRoute bağlantısı kurun.
  2. Vpn bağlantısını bu makalede açıklandığı gibi oluşturun.

Bu yapılandırmanın önemli bir yönü, hem ExpressRoute hem de VPN yolları üzerinden şirket içi ağlar ile Azure arasında yönlendirmedir.

Şirket içi ağlardan Azure'a trafik

Şirket içi ağlardan Azure'a gelen trafik için Azure ön ekleri (sanal merkez ve hub'a bağlı tüm uç sanal ağlar dahil) hem ExpressRoute özel eşleme BGP'si hem de VPN BGP aracılığıyla tanıtılır. Bunun sonucunda şirket içi ağlardan Azure'a doğru iki ağ yolu (yol) elde eder:

  • IPsec korumalı yol üzerinde bir tane
  • IPsec koruması olmadan ExpressRoute üzerinden doğrudan bir tane

İletişime şifreleme uygulamak için diyagramdaki VPN bağlantılı ağ için şirket içi VPN ağ geçidi üzerinden Azure yollarının doğrudan ExpressRoute yolu yerine tercih edildiğinden emin olmanız gerekir.

Azure'dan şirket içi ağlara trafik

Aynı gereksinim Azure'dan şirket içi ağlara gelen trafik için de geçerlidir. IPsec yolunun doğrudan ExpressRoute yolu (IPsec olmadan) yerine tercih edilmesini sağlamak için iki seçeneğiniz vardır:

  • VPN bağlantılı ağ için VPN BGP oturumunda daha belirli ön ekleri tanıtın. ExpressRoute özel eşlemesi üzerinden VPN bağlantılı ağı kapsayan daha geniş bir aralığı tanıtabilir, ardından VPN BGP oturumunda daha belirli aralıklar tanıtabilirsiniz. Örneğin ExpressRoute üzerinden 10.0.0.0/16 ve VPN üzerinden 10.0.1.0/24 tanıtma.

  • VPN ve ExpressRoute için kopuk ön ekleri tanıtma. VPN bağlantılı ağ aralıkları diğer ExpressRoute bağlı ağlarından kopuksa, sırasıyla VPN ve ExpressRoute BGP oturumlarında ön ekleri tanıtabilirsiniz. Örneğin, ExpressRoute üzerinden 10.0.0.0/24 ve VPN üzerinden 10.0.1.0/24 tanıtma.

Bu örneklerin her ikisinde de Azure, VPN koruması olmadan doğrudan ExpressRoute üzerinden değil VPN bağlantısı üzerinden 10.0.1.0/24'e trafik gönderir.

Uyarı

Aynı ön ekleri hem ExpressRoute hem de VPN bağlantıları üzerinden tanıtıyorsanız, Azure ExpressRoute yolunu vpn koruması olmadan doğrudan kullanır.

Başlamadan önce

Yapılandırmanıza başlamadan önce aşağıdaki ölçütleri karşıladığınızdan emin olun:

  • Bağlanmak istediğiniz sanal ağınız zaten varsa, şirket içi ağınızın alt ağlarından hiçbirinin onunla çakışmadığını doğrulayın. Sanal ağınız bir ağ geçidi alt ağı gerektirmez ve sanal ağ geçidine sahip olamaz. Sanal ağınız yoksa, bu makaledeki adımları kullanarak bir sanal ağ oluşturabilirsiniz.
  • Hub bölgenizden bir IP adresi aralığı edinin. Hub bir sanal ağdır ve hub bölgesi için belirttiğiniz adres aralığı, bağlandığınız mevcut bir sanal ağ ile çakışamaz. Ayrıca şirket içinde bağlandığınız adres aralıklarıyla da örtüşemez. Şirket içi ağ yapılandırmanızda bulunan IP adresi aralıklarını bilmiyorsanız, bu ayrıntıları sizin için sağlayabilecek biriyle koordine edin.
  • Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

1. Ağ geçitleri ile sanal WAN ve hub oluşturma

Devam etmeden önce aşağıdaki Azure kaynaklarının ve ilgili şirket içi yapılandırmaların yerinde olması gerekir:

ExpressRoute ilişkilendirmesi olan bir Azure sanal WAN ve hub oluşturma adımları için bkz. Azure Sanal WAN kullanarak ExpressRoute ilişkilendirmesi oluşturma. Sanal WAN'da VPN ağ geçidi oluşturma adımları için bkz. Azure Sanal WAN kullanarak siteden siteye bağlantı oluşturma.

2. Şirket içi ağ için site oluşturma

Site kaynağı, sanal WAN için ExpressRoute olmayan VPN sitelerle aynıdır. Şirket içi VPN cihazının IP adresi artık özel bir IP adresi veya 1. adımda oluşturulan ExpressRoute özel eşlemesi aracılığıyla erişilebilen şirket içi ağdaki bir genel IP adresi olabilir.

Not

Şirket içi VPN cihazının IP adresi, Azure ExpressRoute özel eşlemesi aracılığıyla sanal WAN hub'ına tanıtılan adres ön eklerinin bir parçası olmalıdır .

  1. Tarayıcınızda Azure portal gidin.

  2. Oluşturduğunuz hub'ı seçin. Sanal WAN hub'ı sayfasındaki Bağlantı'nın altında VPN siteleri'ni seçin.

  3. VPN siteleri sayfasında +Site oluştur’u seçin.

  4. Site oluştur sayfasında aşağıdaki alanları doldurun:

    • Abonelik: Aboneliği doğrulayın.
    • Kaynak Grubu: Kullanmak istediğiniz kaynak grubunu seçin veya oluşturun.
    • Bölge: VPN site kaynağı için Azure bölgesini girin.
    • Ad: Şirket içi sitenize başvurmak istediğiniz adı girin.
    • Cihaz satıcısı: Şirket içi VPN cihazının satıcısını girin.
    • Sınır Ağ Geçidi Protokolü: Şirket içi ağınız BGP kullanıyorsa "Etkinleştir" seçeneğini belirleyin.
    • Özel adres alanı: Şirket içi sitenizde bulunan IP adresi alanını girin. Bu adres alanını hedefleyen trafik, VPN ağ geçidi üzerinden şirket içi ağa yönlendirilir.
    • Hub'lar: Bu VPN sitesine bağlanmak için bir veya daha fazla hub seçin. Seçili hub'larda önceden oluşturulmuş VPN ağ geçitleri olmalıdır.
  5. sonraki: VPN bağlantısı ayarları için bağlantılar'ı > seçin:

    • Bağlantı Adı: Bu bağlantıya başvurmak istediğiniz ad.
    • Sağlayıcı Adı: Bu sitenin internet servis sağlayıcısının adı. ExpressRoute şirket içi ağı için bu, ExpressRoute hizmet sağlayıcısının adıdır.
    • Hız: İnternet servis bağlantısının veya ExpressRoute bağlantı hattının hızı.
    • IP adresi: Şirket içi sitenizde bulunan VPN cihazının genel IP adresi. Veya şirket içi ExpressRoute için bu, ExpressRoute aracılığıyla VPN cihazının özel IP adresidir.

    BGP etkinse, Azure'da bu site için oluşturulan tüm bağlantılara uygulanır. Sanal WAN üzerinde BGP'yi yapılandırmak, Azure VPN ağ geçidinde BGP'yi yapılandırmaya eşdeğerdir.

    Şirket içi BGP eş adresiniz, VPN'inizin cihaza yönelik IP adresi veya VPN sitesinin sanal ağ adres alanı ile aynı olmamalıdır . VPN cihazında BGP eş IP’niz olarak farklı bir IP adresi kullanın. Bu aygıttaki geri döngü arabirimine atanmış bir adres olabilir. Ancak apiPA (169.254) olamaz. x. x) adresini seçin. Bu adresi, konumu temsil eden ilgili VPN sitesinde belirtin. BGP önkoşulları için bkz. Azure VPN Gateway ile BGP hakkında.

  6. Ayar değerlerini denetlemek ve VPN sitesini oluşturmak için İleri: Gözden geçir + oluştur'u > seçin. Bağlanmak için Hub'lar'ı seçtiyseniz, şirket içi ağ ile merkez VPN ağ geçidi arasında bağlantı kurulur.

3. ExpressRoute kullanmak için VPN bağlantısı ayarını güncelleştirin

VPN sitesini oluşturduktan ve hub'a bağlandıktan sonra, bağlantıyı ExpressRoute özel eşlemesini kullanacak şekilde yapılandırmak için aşağıdaki adımları kullanın:

  1. Sanal WAN kaynak sayfasına Geri dön ve hub kaynağını seçin. Veya VPN sitesinden bağlı hub'a gidin.

    Hub seçme

  2. Bağlantı'nın altında VPN (Siteden Siteye) öğesini seçin.

    VPN (Siteden Siteye) seçeneğini belirleyin

  3. ExpressRoute üzerinden VPN sitesindeki üç noktayı (...) ve ardından Bu hub'a VPN bağlantısını düzenle'yi seçin.

    Yapılandırma menüsünü girin

  4. Azure Özel IP Adresi Kullan için Evet'i seçin. Bu ayar, merkez VPN ağ geçidini genel IP adresleri yerine bu bağlantı için ağ geçidindeki hub adres aralığındaki özel IP adreslerini kullanacak şekilde yapılandırıyor. Bu, şirket içi ağdan gelen trafiğin bu VPN bağlantısı için genel İnternet kullanmak yerine ExpressRoute özel eşleme yollarında dolaşmasını sağlar. Aşağıdaki ekran görüntüsünde ayarı gösterilmektedir:

    VPN bağlantısı için özel IP adresi kullanma ayarı

  5. Kaydet’i seçin.

Değişikliklerinizi kaydettikten sonra merkez VPN ağ geçidi, ExpressRoute üzerinden şirket içi VPN cihazıyla IPsec/IKE bağlantıları kurmak için VPN ağ geçidindeki özel IP adreslerini kullanır.

4. Merkez VPN ağ geçidi için özel IP adreslerini alma

Hub VPN ağ geçidinin özel IP adreslerini almak için VPN cihaz yapılandırmasını indirin. Şirket içi VPN cihazını yapılandırmak için bu adreslere ihtiyacınız vardır.

  1. Hub'ınızın sayfasında Bağlantı'nın altında VPN (Siteden Siteye) seçeneğini belirleyin.

  2. Genel Bakış sayfasının üst kısmında VPN Config'i İndir'i seçin.

    Azure, "microsoft-network-[location]" kaynak grubunda bir depolama hesabı oluşturur; burada konum WAN'ın konumudur. Yapılandırmayı VPN cihazlarınıza uyguladıktan sonra bu depolama hesabını silebilirsiniz.

  3. Dosya oluşturulduktan sonra, indirmek için bağlantıyı seçin.

  4. Yapılandırmayı VPN cihazınıza uygulayın.

VPN cihazı yapılandırma dosyası

Cihaz yapılandırma dosyası, şirket içi VPN cihazınızı yapılandırırken kullanılacak ayarları içerir. Bu dosyayı görüntülediğinizde aşağıdaki bilgilere dikkat edin:

  • vpnSiteConfiguration: Bu bölüm, sanal WAN'a bağlanan bir site olarak ayarlanan cihaz ayrıntılarını belirtir. Dal cihazının adını ve genel IP adresini içerir.

  • vpnSiteConnections: Bu bölüm aşağıdaki ayarlar hakkında bilgi sağlar:

    • Sanal hub'ın sanal ağının adres alanı.
      Örnek: "AddressSpace":"10.51.230.0/24"
    • Hub'a bağlı sanal ağların adres alanı.
      Örnek: "ConnectedSubnets":["10.51.231.0/24"]
    • Sanal hub'ın VPN ağ geçidinin IP adresleri. VPN ağ geçidinin her bağlantısı etkin-etkin yapılandırmada iki tünelden oluştuğundan, her iki IP adresinin de bu dosyada listelendiğini görürsünüz. Bu örnekte, her site için ve Instance1 ifadesini görürsünüz Instance0 ve bunlar genel IP adresleri yerine özel IP adresleridir.
      Örnek: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • VPN ağ geçidi bağlantısı için BGP ve önceden paylaşılan anahtar gibi yapılandırma ayrıntıları. Önceden paylaşılan anahtar sizin için otomatik olarak oluşturulur. Özel bir önceden paylaşılan anahtar için genel bakış sayfasında bağlantıyı istediğiniz zaman düzenleyebilirsiniz.

Örnek cihaz yapılandırma dosyası

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

VPN cihazınızı yapılandırma

Cihazınızı yapılandırma yönergelerine ihtiyaç duyarsanız VPN cihazı yapılandırma betikleri sayfasındaki yönergeleri aşağıdaki uyarılarla birlikte kullanabilirsiniz:

  • VPN cihazı sayfasındaki yönergeler sanal WAN için yazılmaz. Ancak VPN cihazınızı el ile yapılandırmak için yapılandırma dosyasındaki sanal WAN değerlerini kullanabilirsiniz.
  • VPN ağ geçidine yönelik indirilebilir cihaz yapılandırma betikleri, yapılandırma farklı olduğundan sanal WAN için çalışmaz.
  • Yeni bir sanal WAN hem IKEv1'i hem de IKEv2'i destekleyebilir.
  • Sanal WAN yalnızca rota tabanlı VPN cihazları ve cihaz yönergelerini kullanabilir.

5. Sanal WAN'ınızı görüntüleme

  1. Sanal WAN'a gidin.
  2. Genel Bakış sayfasında, haritadaki her nokta bir hub'ı temsil eder.
  3. Hub'lar ve bağlantılar bölümünde hub, site, bölge ve VPN bağlantı durumunu görüntüleyebilirsiniz. Ayrıca, gelen ve giden baytları da görüntüleyebilirsiniz.

6. Bağlantıyı izleme

Azure sanal makinesi (VM) ile uzak site arasındaki iletişimi izlemek için bir bağlantı oluşturun. Bağlantı izleyici oluşturma hakkında bilgi almak için bkz. Ağ iletişimini izleme. Kaynak alan Azure'daki VM IP'sini, hedef IP ise site IP'sini oluşturur.

7. Kaynakları temizleme

Bu kaynaklara artık ihtiyacınız kalmadığında Remove-AzResourceGroup kullanarak kaynak grubunu ve içerdiği tüm kaynakları kaldırabilirsiniz. Aşağıdaki PowerShell komutunu çalıştırın ve öğesini kaynak grubunuzun adıyla değiştirin myResourceGroup :

Remove-AzResourceGroup -Name myResourceGroup -Force

Sonraki adımlar

Bu makale, Sanal WAN kullanarak ExpressRoute özel eşlemesi üzerinden VPN bağlantısı oluşturmanıza yardımcı olur. Sanal WAN ve ilgili özellikler hakkında daha fazla bilgi edinmek için bkz. Sanal WAN genel bakış.