透過 ExpressRoute 實作加密

  • 7 分鐘

部署 Azure 虛擬 WAN 以透過 Azure ExpressRoute 線路的私人對等互連,建立從內部部署網路到 Azure 的 IPsec/IKE VPN 連線。 此技術可透過 ExpressRoute 來提供內部部署網路與 Azure 虛擬網路之間的加密傳輸,而不需要經過公用網際網路或使用公用 IP 位址。

拓撲和路由

圖表顯示 Azure 快速路由拓撲和路由傳送的範例。

圖表顯示透過 ExpressRoute 私人對等互連連線到 Azure 中樞 VPN 閘道之內部部署網路中的網路。 建立連線的方法很簡單:

  1. 使用 ExpressRoute 線路和私人對等互連建立 ExpressRoute 連線。
  2. 如範例中所述,建立 VPN 連線。

這項設定的重要層面是在內部部署網路與 Azure 之間,透過 ExpressRoute 和 VPN 路徑兩者進行路由。

從內部部署網路到 Azure 的流量

針對從內部部署網路到 Azure 的流量,Azure 首碼 (包括虛擬中樞以及連線至中樞的所有輪輻虛擬網路) 會透過 ExpressRoute 私人對等互連 BGP 和 VPN BGP 兩者進行公告。 這會產生兩個從內部部署網路到 Azure 的網路路由 (路徑):

  • 一個透過受 IPsec 保護的路徑
  • 另一個直接透過沒有 IPsec 保護的 ExpressRoute

若要將加密套用至通訊,您必須確定對於圖表中連線到 VPN 的網路,透過內部部署 VPN 閘道的 Azure 路由會優先於直接 ExpressRoute 路徑。

從 Azure 到內部部署網路的流量

相同需求適用於從 Azure 到內部部署網路的流量。 若要確保 IPsec 路徑會優先於直接 ExpressRoute 路徑 (沒有 IPsec),您有兩個選項:

在連線到 VPN 之網路的 VPN BGP 工作階段公告更明確的首碼。 您可以透過 ExpressRoute 私人對等互連來公告包含連線到 VPN 之網路在內的較大範圍,然後公告 VPN BGP 工作階段中較具體的範圍。 例如,透過 ExpressRoute 公告 10.0.0.0/16,並透過 VPN 公告 10.0.1.0/24。

公告 VPN 和 ExpressRoute 的不相鄰首碼。 如果 VPN 連線的網路範圍與其他 ExpressRoute 連線的網路不相鄰,您可以分別在 VPN 和 ExpressRoute BGP 工作階段中公告首碼。 例如,透過 ExpressRoute 公告 10.0.0.0/24,並透過 VPN 公告 10.0.1.0/24。

在這兩個範例中,Azure 都會透過 VPN 連線將流量傳送至 10.0.1.0/24,而不是直接透過沒有 VPN 保護的 ExpressRoute 傳送。

開始之前

開始您的設定之前,請確認您符合下列準則:

  • 如果您已經有要連線到其中的虛擬網路,請確認內部部署網路的子網路沒有與其重疊。 您的虛擬網路不需要閘道子網路,而且不能有任何虛擬網路閘道。 如果您沒有虛擬網路,則可以使用本文中的步驟來建立一個虛擬網路。
  • 為您的中樞區域取得一個 IP 位址範圍。 中樞是一個虛擬網路,而您為中樞區域指定的位址範圍不能與您連線到其中的現有虛擬網路重疊。 它也不能與您連線到內部部署的位址範圍重疊。 如果您不熟悉位於內部部署網路設定中的 IP 位址範圍,請與可以為您提供這些詳細資料的人員協調。
  • 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。

1.建立具有閘道的虛擬 WAN 和中樞

在繼續之前,必須準備好下列的 Azure 資源和對應的內部部署設定:

  • Azure 虛擬 WAN。
  • 具有 ExpressRoute 和虛擬私人網路閘道的虛擬 WAN 中樞。

2.建立內部部署網路的網站

該站點資源與虛擬 WAN 的非 ExpressRoute VPN 站點相同。 內部部署 VPN 裝置的 IP 位址現在可以是私人 IP 位址,也可以是可透過先前建立的 ExpressRoute 私人對等互連設定存取的內部部署網路中的公用 IP 位址。

  1. 移至您的虛擬 WANVPN 站點,並為您的內部部署網路建立站點。 請記住下列的設定值:

    • 邊界閘道協定 (BGP):如果您的內部部署網路使用 BGP,請選取 [啟用]。
    • 私人位址空間:輸入位於您的內部部署站點的 IP 位址空間。 流向此位址空間的流量會透過 VPN 閘道路由傳送至內部部署網路。

  2. 請選取 [連結],以新增實體連結的相關資訊。 請記住下列的設定資訊:

    • 提供者名稱:此站點的網際網路服務提供者的名稱。 對於 ExpressRoute 內部部署網路,它是 ExpressRoute 服務提供者的名稱。
    • 速度:網際網路服務連結或 ExpressRoute 線路的速度。
    • IP 位址:位於您的內部部署站點上的 VPN 裝置的公用 IP 位址。 或者,對於內部部署 ExpressRoute,它是透過 ExpressRoute 的 VPN 裝置的私人 IP 位址。
    • 如果已啟用 BGP,則會套用至在 Azure 中為此站點所建立的所有連線。 在虛擬 WAN 上設定 BGP 相當於在 Azure VPN 閘道上設定 BGP。
    • 您的內部部署 BGP 對等位址不得 與您的 VPN 到裝置的 IP 位址或 VPN 站點的虛擬網路位址空間相同。 在 VPN 裝置上,請針對 BGP 對等互連 IP 使用不同的 IP 位址。 它可以是指派給裝置上 Loopback 介面的位址。 不過,它不能 是 APIPA (169.254.x.x) 位址。 在代表位置的對應 VPN 站點中指定此位址。

  3. 選取 [下一步:檢閱 + 建立] 來檢查設定值並建立 VPN 站點,然後建立站點。

  4. 接下來,將該站點連線到中樞。 更新閘道最多可能需要 30 分鐘的時間。

3.更新 VPN 連線設定以使用 ExpressRoute

建立 VPN 站點並連線到中樞之後,請使用下列步驟來設定連線以使用 ExpressRoute 私人對等互連:

  1. 移至虛擬中樞。 您可以移至虛擬 WAN 並選取中樞以開啟中樞頁面來執行此動作,也可以從 VPN 站點移至連線的虛擬中樞。

  2. 在 [連線] 下,選取 [VPN (站點到站點)]

  3. 選取省略號 (...) 或以滑鼠右鍵按一下透過 ExpressRoute 的 VPN 站點,然後選取 [編輯與此中樞的 VPN 連線]

  4. 在 [基本] 頁面上,保留預設值。

  5. 在 [連結連線 1] 頁面上,設定下列設定:

    • 針對 [使用 Azure 私人 IP 位址],選取 [是]。 此設定會將中樞 VPN 閘道設定為使用閘道上的中樞位址範圍內的私人 IP 位址來進行此連線 (而不是使用公用 IP 位址)。 這可確保來自內部部署網路的流量會遍歷 ExpressRoute 私人對等互連路徑,而不是使用公用網際網路來進行此 VPN 連線。

  6. 按一下 [建立] 以更新設定。 建立設定之後,中樞 VPN 閘道將使用 VPN 閘道上的私人 IP 位址,以透過 ExpressRoute 與內部部署 VPN 裝置建立 IPsec/IKE 連線。

4.取得中樞 VPN 閘道的私人 IP 位址

下載 VPN 裝置設定以取得中樞 VPN 閘道的私人 IP 位址。 您需要這些位址來設定內部部署 VPN 裝置。

  1. 在中樞的頁面上,選取 [連線] 底下的 [VPN (站點到站點)]
  2. 在 [概觀] 頁面的頂端,選取 [下載 VPN 設定]。Azure 會在資源群組 "microsoft-network-[location]" (其中 location 是 WAN 的位置) 中建立儲存體帳戶。 將設定套用至您的 VPN 裝置之後,您可以刪除此儲存體帳戶。
  3. 建立檔案後,請選取該連結來下載它。
  4. 將設定套用至您的 VPN 裝置。

VPN 裝置設定檔

裝置設定檔包含您設定內部部署 VPN 裝置時要使用的設定。 當您檢視此檔案時,請注意下列資訊:

  • vpnSiteConfiguration:此區段代表設定為連線到虛擬 WAN 的站點的裝置詳細資料。 它包含分支裝置的名稱和公用 IP 位址。

  • vpnSiteConnections - 此區段提供與下列設定有關的資訊:

    • 虛擬中樞虛擬網路的位址空間。
      範例: "AddressSpace":"10.51.230.0/24"
    • 連線到中樞之虛擬網路的位址空間。
      範例: "ConnectedSubnets":["10.51.231.0/24"]
    • 虛擬中樞 VPN 閘道的 IP 位址。 由於 VPN 閘道的每個連線都是由主動-主動設定中的兩個通道所組成,因此您會看到此檔案中所列的兩個 IP 位址。 在此範例中,您會看到每個站點的 Instance0 和 Instance1,它們是私人 IP 位址,而不是公用 IP 位址。
      範例: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • VPN 閘道連線的設定詳細資料,例如 BGP 和預先共用金鑰。 預先共用金鑰會自動為您產生。 對於自訂預先共用金鑰,您一律可以在 [概觀] 頁面上編輯連線。

設定 VPN 裝置

如果需要設定裝置的指示,您可以使用 VPN 裝置組態指令碼頁面中的指示,並留意下列注意事項:

  • VPN 裝置頁面上的指示不會針對虛擬 WAN 撰寫。 但您可以手動從 VPN 裝置上的組態檔中使用虛擬 WAN 值
  • 適用於 VPN 閘道的可下載裝置組態指令碼不適用於虛擬 WAN,因為組態不同。
  • 新的虛擬 WAN 可以支援 IKEv1 和 IKEv2。
  • 虛擬 WAN 只能使用路由式 VPN 裝置和裝置指示。

5.檢視您的虛擬 WAN

  1. 移至虛擬 WAN。
  2. 在 [概觀] 頁面中,地圖上的每個點都代表著中樞。
  3. 在中樞與連線區段中,您可以檢視中樞狀態、網站、區域、VPN 連線狀態和輸入與輸出位元組。 您也可以檢視和輸出中的位元組。

6.監視連線

建立連線以監視 Azure VM 和遠端站台之間的通訊。