Güvenli sanal merkez de dahil olmak üzere Sanal Geniş Alan Ağı planlama ve uygulama

  • 7 dakika

Sanal WAN, IPsec/IKE (IKEv1 ve IKEv2) VPN bağlantısı üzerinden Azure'daki kaynaklarınıza bağlanır. Bu bağlantı türü için, şirket içinde yer alan ve kendisine atanmış dışarıya yönelik bir genel IP adresi atanmış olan bir VPN cihazı gerekir.

Siteden siteye sanal geniş alan ağ bağlantısını gösteren diyagram.

Önkoşullar

  • Azure aboneliğiniz olduğunu doğrulayın. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.

  • Sanal hub özel adres alanınız için kullanmak istediğiniz IP adresi aralığına karar verin. Bu bilgiler sanal hub'ınızı yapılandırırken kullanılır. Sanal hub, Sanal WAN tarafından oluşturulan ve kullanılan bir sanal ağdır. Bir bölgedeki Sanal WAN ağınızın çekirdeğidir. Adres alanı aralığı belirli kurallara uygun olmalıdır.

    • Hub için belirttiğiniz adres aralığı, bağlandığınız mevcut sanal ağlardan hiçbiriyle çakışamaz.
    • Adres aralığı, bağlandığınız şirket içi adres aralıklarıyla çakışamaz.
    • Şirket içi ağ yapılandırmanızda bulunan IP adresi aralıklarını bilmiyorsanız, sizin için bu ayrıntıları sağlayabilecek biriyle eşgüdüm sağlayın.

Azure portalı veya Azure PowerShell

Azure portalını veya Azure PowerShell cmdlet'lerini kullanarak Azure Sanal WAN siteden siteye bağlantı oluşturabilirsiniz. Cloud Shell, yaygın Azure araçlarının önceden yüklenmiş ve hesabınızla kullanılacak şekilde yapılandırılmış ücretsiz bir etkileşimli kabukdur.

Cloud Shell'i açmak için bir kod bloğunun sağ üst köşesinden Cloud Shell'i Aç'ı seçmeniz gerekir. Cloud Shell'i adresine giderek https://shell.azure.com/powershellayrı bir tarayıcı sekmesinde de açabilirsiniz. Kod bloklarını kopyalamak için Kopyala'yı seçin, bunları Cloud Shell'e yapıştırın ve çalıştırmak için Enter tuşunu seçin.

Ayrıca Azure PowerShell cmdlet'lerini bilgisayarınıza yerel olarak yükleyebilir ve çalıştırabilirsiniz. PowerShell cmdlet'leri sık sık güncelleştirilir. En son sürümü yüklemediyseniz, yönergelerde belirtilen değerler başarısız olabilir. Bilgisayarınızda yüklü Azure PowerShell sürümlerini bulmak için kullanın Get-Module -ListAvailable Az cmdlet.

Oturum açın

Azure Cloud Shell kullanıyorsanız Cloud Shell'i açtıktan sonra otomatik olarak hesabınızda oturum açmaya yönlendirilirsiniz. komutunu çalıştırmanız Connect-AzAccountgerekmez. Oturum açtıktan sonra ve Select-AzSubscriptionkullanarak Get-AzSubscriptiongerekirse abonelikleri değiştirebilirsiniz.

PowerShell'i yerel olarak çalıştırıyorsanız yükseltilmiş ayrıcalıklara sahip PowerShell konsolunu açın ve Azure hesabınıza bağlanın. Connect-AzAccount cmdlet'i sizden kimlik bilgilerini ister. Kimlik doğrulaması yaptıktan sonra hesap ayarlarınızı indirerek Azure PowerShell'in kullanımına sunulmasını sağlar. ve Select-AzSubscription -SubscriptionName "Name of subscription"kullanarak Get-AzSubscriptionaboneliği değiştirebilirsiniz.

Sanal WAN oluşturma

Sanal wan oluşturabilmeniz için önce sanal wan'ı barındırmak veya mevcut bir kaynak grubunu kullanmak için bir kaynak grubu oluşturmanız gerekir. Aşağıdaki örneklerden birini kullanın.

Bu örnek, Doğu ABD konumunda TestRG adlı yeni bir kaynak grubu oluşturur. Bunun yerine var olan bir kaynak grubunu kullanmak istiyorsanız, komutunu değiştirebilir $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup"ve ardından kendi değerlerinizi kullanarak bu alıştırmadaki adımları tamamlayabilirsiniz.

  1. Kaynak grubu oluşturun.

    New-AzResourceGroup -Location "East US" -Name "TestRG"

  2. New-AzVirtualWan cmdlet'ini kullanarak sanal wan'ı oluşturun.

    $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"

Hub oluşturma ve hub ayarlarını yapılandırma

Hub, siteden siteye, ExpressRoute veya noktadan siteye işlevselliği için ağ geçitleri içerebilen bir sanal ağdır. ile New-AzVirtualHubbir sanal hub oluşturun. Bu örnek, belirtilen adres ön eki ve hub için bir konum ile Hub1 adlı bir varsayılan sanal hub oluşturur.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

Siteden siteye VPN ağ geçidi oluşturma

Bu bölümde, başvuruda bulunan sanal hub ile aynı konumda bir siteden siteye VPN ağ geçidi oluşturacaksınız. VPN ağ geçidini oluşturduğunuzda, istediğiniz ölçek birimlerini belirtirsiniz. Ağ geçidinin oluşturulması yaklaşık 30 dakika sürer.

  1. Azure Cloud Shell'i kapattıysanız veya bağlantınız zaman aşımına uğradıysa $virtualHub için değişkeni yeniden bildirmeniz gerekebilir.

    $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"

  2. New-AzVpnGateway cmdlet'ini kullanarak bir VPN ağ geçidi oluşturun.

    New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2

  3. VPN ağ geçidiniz oluşturulduktan sonra aşağıdaki örneği kullanarak görüntüleyebilir.

    Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

Site ve bağlantılar oluşturma

Bu bölümde, fiziksel konumlarınıza ve bağlantılarınıza karşılık gelen siteler oluşturursunuz. Bu siteler şirket içi VPN cihazı uç noktalarınızı içerir; sanal WAN'da sanal hub başına en fazla 1000 site oluşturabilirsiniz. Birden çok hub'larınız varsa, bu hub'ların her biri için 1000 oluşturabilirsiniz.

  1. VPN ağ geçidi ve şirket içi sitenizde bulunan IP adresi alanı için değişkenini ayarlayın. Bu adres alanını hedefleyen trafik yerel sitenize yönlendirilir. Site için BGP etkinleştirilmediğinde bu gereklidir.

    $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSiteAddressSpaces = New-Object string[] 2
$vpnSiteAddressSpaces[0] = "192.168.2.0/24"
$vpnSiteAddressSpaces[1] = "192.168.3.0/24"

  2. Bağlantı hızı, bağlantı sağlayıcısı adı ve şirket içi cihazın genel IP adresi hakkındaki meta veriler de dahil olmak üzere daldaki fiziksel bağlantılar hakkında bilgi eklemek için bağlantılar oluşturun.

    $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"

$vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"

  3. Az önce oluşturduğunuz VPN sitesi bağlantılarının değişkenlerine başvurarak VPN sitesini oluşturun. Azure Cloud Shell'i kapattıysanız veya bağlantınız zaman aşımına uğradıysa sanal WAN değişkenini yeniden sağlayın:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"

    New-AzVpnSite cmdlet'ini kullanarak VPN sitesini oluşturun.

    $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)

  4. Site bağlantısı bağlantısını oluşturun. Bağlantı, bir daldan/siteden ölçeklenebilir ağ geçidine iki etkin-etkin tünelden oluşur.

    $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100

$vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10

VPN sitesini bir hub'a bağlama

  1. Komutu çalıştırmadan önce aşağıdaki değişkenleri yeniden oluşturmanız gerekebilir:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"

  2. VPN sitesini hub'a bağlayın.

    New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)

Hub'ınıza sanal ağ bağlama

Sonraki adım, hub'ı sanal ağa bağlamaktır. Bu alıştırma için yeni bir kaynak grubu oluşturduysanız, genellikle kaynak grubunuzda zaten bir sanal ağınız (VNet) olmaz. Aşağıdaki adımlar, henüz bir sanal ağınız yoksa sanal ağ oluşturmanıza yardımcı olur. Ardından hub ile sanal ağınız arasında bir bağlantı oluşturabilirsiniz.

Sanal ağ oluşturma

Sanal ağ oluşturmak için aşağıdaki örnek değerleri kullanabilirsiniz. Ortamınız için kullandığınız değerlerin örneklerindeki değerleri değiştirdiğinizden emin olun.

  1. Bir sanal ağ oluşturun.

    $vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet

  2. Alt ağ ayarlarını belirtin.

    $subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

  3. Sanal ağı ayarlayın.

    $virtualNetwork | Set-AzVirtualNetwork

Bir sanal ağı bir hub'a bağlama

Aşağıdaki adımlar, PowerShell kullanarak sanal ağınızı sanal hub'ınıza bağlamanızı sağlar. Bu görevi tamamlamak için Azure portalını da kullanabilirsiniz. Bu adımları bağlanmak istediğiniz tüm sanal ağlar için tekrarlayın.

Bağlantı oluşturmadan önce aşağıdakilere dikkat edin:

  • Bir sanal ağ aynı anda yalnızca bir sanal hub'a bağlanabilir.
  • Bunu bir sanal hub'a bağlamak için uzak sanal ağın ağ geçidi olamaz.
  • Statik yolu yay gibi bazı yapılandırma ayarları şu anda yalnızca Azure portalında yapılandırılabilir.

Sanal hub'da VPN ağ geçitleri varsa, bu işlem ve bağlı sanal ağ üzerindeki diğer yazma işlemleri noktadan siteye istemcilerin bağlantısının kesilmesine ve siteden siteye tünellerin ve Sınır Ağ Geçidi Protokolü (BGP) oturumlarının yeniden bağlanmasına neden olabilir.

Bağlantı ekle

  1. Var olan sanal ağ da dahil olmak üzere mevcut kaynakların değişkenlerini bildirin.

    $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"

  2. Sanal ağı sanal hub'a eşlemek için bir bağlantı oluşturun.

    New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork

VPN cihazını yapılandırma

VPN yapılandırmasını indirme

Şirket içi VPN cihazınızı yapılandırmak için VPN cihazı yapılandırma dosyasını kullanın. Temel adımlar şunlardır:

  1. Sanal WAN sayfanızdan Hubs -Sanal hub'ınız ->VPN (Siteden siteye) sayfasına gidin.>

  2. VPN (Siteden siteye) sayfasının üst kısmında VPN Yapılandırmasını İndir'e tıklayın. Azure, 'microsoft-network-[location]' kaynak grubunda yeni bir depolama hesabı oluştururken bir dizi ileti görürsünüz; burada konum WAN'ın konumudur. "Mevcut Olanı Kullan" seçeneğine tıklayarak ve yazma izinlerinin etkinleştirildiği geçerli bir SAS URL'si ekleyerek de mevcut bir depolama hesabı ekleyebilirsiniz.

  3. Dosyanın oluşturulması tamamlandıktan sonra, dosyayı indirmek için bağlantıya tıklayın. Bu, sağlanan SAS URL konumunda VPN yapılandırmasına sahip yeni bir dosya oluşturur.

  4. Yapılandırmayı şirket içi VPN cihazınıza uygulayın. Daha fazla bilgi için bu bölümdeki VPN cihazı yapılandırması bölümüne bakın.

  5. Yapılandırmayı VPN cihazlarınıza uyguladıktan sonra, oluşturduğunuz depolama hesabını tutmanız gerekmez.

    • Sanal hub'ların sanal ağının adres alanı.

      • Örnek:

        • "AddressSpace":"10.1.0.0/24"

    • Sanal hub'a bağlı sanal ağların adres alanı.

      • Örnek:

        • "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • Sanal hub vpngateway ip adresi alanı. Her vpngateway bağlantısı etkin-etkin yapılandırmasında iki tünelden oluştuğundan, her iki IP adresinin de bu dosyada listelendiğini görürsünüz. Bu örnekte her site için "Instance0" ve "Instance1" örneklerini göreceksiniz.

      • Örnek:

        • "Instance0":"nnn.nn.nn.nnn"
        • "Instance1":"nnn.nn.nn.nnn"

    • Genel IP Adresi: Azure tarafından atanır.

    • Özel IP Adresi: Azure tarafından atanır.

    • Varsayılan BGP IP Adresi: Azure tarafından atanır.

    • Özel BGP IP Adresi: Bu alan APIPA (Otomatik Özel IP Adresleme) için ayrılmıştır. BGP IP'sini 169.254.21.* ve 169.254.22.* aralığında Azure desteği. Azure bu aralıklardaki BGP bağlantılarını kabul eder, ancak varsayılan BGP IP'siyle bağlantıyı arar. Kullanıcılar her örnek için birden çok özel BGP IP adresi belirtebilir. Her iki örnek için de aynı özel BGP IP adresi kullanılmamalıdır.

VPN cihazı yapılandırma dosyası

Cihaz yapılandırma dosyasında şirket içi VPN cihazınızı yapılandırırken kullanacağınız ayarlar bulunur. Bu dosyayı görüntülediğinizde aşağıdaki bilgilere dikkat edin:

  • vpnSiteConfiguration - Bu bölüm, sanal WAN'a bağlanan bir site olarak ayarlanan cihaz ayrıntılarını belirtir. Dal cihazının adını ve genel IP adresini içerir.

vpnSiteConnections - Bu bölüm aşağıdaki ayarlar hakkında bilgi sağlar:

  • BGP, önceden paylaşılan anahtar gibi Vpngateway bağlantı yapılandırma ayrıntıları. PSK, sizin için otomatik olarak oluşturulan önceden paylaşılan anahtardır. Özel Bir Önceden Paylaşılan Anahtar (PSK) için genel bakış sayfasında bağlantıyı istediğiniz zaman düzenleyebilirsiniz.

Örnek cihaz yapılandırma dosyası

{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }

VPN cihazınızı yapılandırma

Not

Bir Sanal WAN iş ortağı çözümü ile çalışıyorsanız VPN cihazı yapılandırması otomatik olarak gerçekleşir. Cihaz denetleyicisi, Azure'dan yapılandırma dosyasını alarak Azure bağlantısını kurmak için cihaza uygular. Bu da VPN cihazını el ile yapılandırmayı bilmenize gerek olmadığı anlamına gelir.

Ağ geçidi ayarlarını görüntüleme veya düzenleme

İSTEDIĞINIZ zaman VPN ağ geçidi ayarlarınızı görüntüleyebilir ve düzenleyebilirsiniz. Sanal HUB ->VPN 'inize (Siteden siteye) gidin ve Görüntüle/Yapılandır'ı seçin.

Sanal Merkez yapılandırma sayfasından Sanal Özel Ağ ağ geçidi ayarlarınızı görüntülemeyi ve düzenlemeyi gösteren ekran görüntüsü.

VPN Gateway'i Düzenle sayfasında aşağıdaki ayarları görebilirsiniz:

Sanal özel ağ geçidi ayarlarını düzenlemeyi gösteren ekran görüntüsü.