ExpressRoute özel eşlemesi üzerinden Siteden Siteye VPN bağlantısı yapılandırma
RFC 1918 IP adresi kullanarak, Siteden Siteye VPN’i ExpressRoute özel eşlemesi üzerinden sanal ağ geçidine yapılandırabilirsiniz. Bu yapılandırma aşağıdaki avantajları sağlar:
Özel eşleme üzerinden trafik şifrelenir.
Bir sanal ağ geçidine bağlanan noktadan siteye kullanıcıları, şirket içi kaynaklara erişmek için ExpressRoute’u (Siteden Siteye tünel aracılığıyla) kullanabilir.
Aynı VPN ağ geçidinde İnternet üzerinden Siteden Siteye VPN bağlantıları ile aynı anda ExpressRoute özel eşlemesi üzerinden Siteden Siteye VPN bağlantıları dağıtabilirsiniz.
Bu özellik yalnızca standart IP tabanlı ağ geçitleri için kullanılabilir.
Önkoşullar
Bu yapılandırmayı tamamlamak için aşağıdaki önkoşulları karşıladığınızdan emin olun:
VPN ağ geçidinin oluşturulduğu (veya oluşturulacağı) sanal ağa bağlı, işlevsel bir ExpressRoute bağlantı hattınız var.
ExpressRoute bağlantı hattı üzerinden sanal ağdaki RFC1918 (özel) IP üzerinden kaynaklara ulaşabilirsiniz.
Yönlendirme
Şekil 1'de ExpressRoute özel eşlemesi üzerinden VPN bağlantısı örneği gösterilmektedir. Bu örnekte, şirket içi ağda ExpressRoute özel eşlemesi üzerinden Azure hub VPN ağ geçidine bağlı bir ağ görürsünüz. Bu yapılandırmanın önemli bir yönü, hem ExpressRoute hem de VPN yolları üzerinden şirket içi ağlar ile Azure arasındaki yönlendirmedir.
Şekil 1
Bağlantı kurmak basittir:
ExpressRoute bağlantı hattı ve özel eşleme ile ExpressRoute bağlantısı kurun.
Bu makaledeki adımları kullanarak VPN bağlantısını kurun.
Şirket içi ağlardan Azure'a trafik
Şirket içi ağlardan Azure'a gelen trafik için Azure ön ekleri hem ExpressRoute özel eşleme BGP'si hem de BGP VPN Ağ Geçidinizde yapılandırılmışsa VPN BGP aracılığıyla tanıtılır. Sonuç olarak şirket içi ağlardan Azure'a doğru iki ağ yolu (yol) elde edilir:
• IPsec korumalı yol üzerinden bir ağ yolu.
• IPsec koruması olmadan ExpressRoute üzerinden doğrudan bir ağ yolu.
İletişime şifreleme uygulamak için Şekil 1'deki VPN bağlantılı ağ için doğrudan ExpressRoute yolu yerine şirket içi VPN ağ geçidi üzerinden Azure yollarının tercih edildiğinden emin olmanız gerekir.
Azure'dan şirket içi ağlara trafik
Aynı gereksinim, Azure'dan şirket içi ağlara gelen trafik için de geçerlidir. IPsec yolunun doğrudan ExpressRoute yolu (IPsec olmadan) yerine tercih edilmesini sağlamak için iki seçeneğiniz vardır:
• VPN bağlantılı ağ için VPN BGP oturumunda daha belirli ön ekleri tanıtın. ExpressRoute özel eşlemesi üzerinden VPN'e bağlı ağı kapsayan daha geniş bir aralığı, ardından VPN BGP oturumunda daha belirli aralıkları tanıtabilirsiniz. Örneğin ExpressRoute üzerinden 10.0.0.0/16 ve VPN üzerinden 10.0.1.0/24 tanıtma.
• VPN ve ExpressRoute için kopuk ön ekleri tanıtma. VPN bağlantılı ağ aralıkları diğer ExpressRoute bağlı ağlarından kopuksa, sırasıyla VPN ve ExpressRoute BGP oturumlarında ön ekleri tanıtabilirsiniz. Örneğin ExpressRoute üzerinden 10.0.0.0/24 ve VPN üzerinden 10.0.1.0/24 tanıtma.
Bu örneklerin her ikisinde de Azure, VPN koruması olmadan doğrudan ExpressRoute üzerinden değil VPN bağlantısı üzerinden 10.0.1.0/24'e trafik gönderir.
Uyarı
Hem ExpressRoute hem de VPN bağlantıları üzerinden aynı ön ekleri tanıtıyorsanız Azure, >EXPRESSRoute yolunu vpn koruması olmadan doğrudan kullanır.
Portal adımları
Siteden Siteye bağlantıyı yapılandırın. Adımlar için Siteden siteye yapılandırma makalesine bakın. Standart Genel IP'ye sahip bir ağ geçidi seçmeyi unutmayın.
Ağ geçidinde Özel IP'leri etkinleştirin. Yapılandırma'yı seçin, ardından Ağ Geçidi Özel IP'lerini Etkin olarak ayarlayın. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.
Genel Bakış sayfasında, özel IP adresini görüntülemek için Daha Fazla Göster'i seçin. Yapılandırma adımlarında daha sonra kullanmak için bu bilgileri bir yere yazın.
Bağlantıda Azure Özel IP Adresi Kullan'ı etkinleştirmek için Yapılandırma'yı seçin. Azure Özel IP Adresi Kullan'ı Etkin olarak ayarlayın, ardından Kaydet'i seçin.
ExpressRoute özel eşlemesi üzerinden Siteden Siteye tüneli oluşturmak için 3. adımda not ettiğiniz özel IP'yi şirket içi güvenlik duvarınızda uzak IP olarak kullanın.
Not
ExpressRoute özel eşlemesi üzerinden VPN bağlantısı elde etmek için VPN Gateway'inizde BGP'yi yapılandırmanız gerekmez.
PowerShell adımları
Siteden Siteye bağlantıyı yapılandırın. Adımlar için Siteden Siteye VPN yapılandırma makalesine bakın. Standart Genel IP'ye sahip bir ağ geçidi seçmeyi unutmayın.
Aşağıdaki PowerShell komutlarını kullanarak ağ geçidinde özel IP'yi kullanmak için bayrağını ayarlayın:
$Gateway = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroup <name of resource group> Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -EnablePrivateIpAddress $trueGenel ve özel bir IP adresi görmeniz gerekir. Çıkışın "TunnelIpAddresses" bölümünün altına IP adresini yazın. Bu bilgileri sonraki bir adımda kullanacaksınız.
Aşağıdaki PowerShell komutunu kullanarak bağlantıyı özel IP adresini kullanacak şekilde ayarlayın:
$Connection = get-AzVirtualNetworkGatewayConnection -Name <name of the connection> -ResourceGroupName <name of resource group> Set-AzVirtualNetworkGatewayConnection --VirtualNetworkGatewayConnection $Connection -UseLocalAzureIpAddress $trueGüvenlik duvarınızdan, 2. adımda not ettiğiniz özel IP'ye ping atabilirsiniz. ExpressRoute özel eşlemesi üzerinden erişilebilir olmalıdır.
ExpressRoute özel eşlemesi üzerinden Siteden Siteye tüneli oluşturmak için bu özel IP'yi şirket içi güvenlik duvarınızda uzak IP olarak kullanın.
Sonraki adımlar
VPN Gateway hakkında daha fazla bilgi için bkz . VPN Gateway nedir?
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin