Szyfrowanie usługi ExpressRoute: protokół IPsec za pośrednictwem usługi ExpressRoute dla usługi Virtual WAN
W tym artykule pokazano, jak za pomocą usługi Azure Virtual WAN ustanowić połączenie sieci VPN IPsec/IKE z sieci lokalnej do platformy Azure za pośrednictwem prywatnej komunikacji równorzędnej obwodu usługi Azure ExpressRoute. Ta technika może zapewnić zaszyfrowany tranzyt między sieciami lokalnymi i sieciami wirtualnymi platformy Azure za pośrednictwem usługi ExpressRoute, bez przechodzenia przez publiczny Internet lub korzystania z publicznych adresów IP.
Topologia i routing
Na poniższym diagramie przedstawiono przykład łączności sieci VPN za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute:
Na diagramie przedstawiono sieć w sieci lokalnej połączonej z bramą sieci VPN centrum platformy Azure za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. Ustanowienie łączności jest proste:
- Ustanów łączność usługi ExpressRoute z obwodem usługi ExpressRoute i prywatną komunikacją równorzędną.
- Ustanów łączność sieci VPN zgodnie z opisem w tym artykule.
Ważnym aspektem tej konfiguracji jest routing między sieciami lokalnymi a platformą Azure zarówno przez ścieżki usługi ExpressRoute, jak i sieci VPN.
Ruch z sieci lokalnych do platformy Azure
W przypadku ruchu z sieci lokalnych do platformy Azure prefiksy platformy Azure (w tym koncentrator wirtualny i wszystkie sieci wirtualne będące szprychami połączone z piastą) są anonsowane zarówno za pośrednictwem prywatnej komunikacji równorzędnej expressRoute BGP, jak i protokołu BGP sieci VPN. Skutkuje to dwoma trasami sieciowymi (ścieżkami) w kierunku platformy Azure z sieci lokalnych:
- Jeden na ścieżce chronionej przez protokół IPsec
- Jeden bezpośrednio za pośrednictwem usługi ExpressRoute bez ochrony protokołu IPsec
Aby zastosować szyfrowanie do komunikacji, upewnij się, że w przypadku sieci połączonej z siecią VPN na diagramie preferowane są trasy platformy Azure za pośrednictwem lokalnej bramy sieci VPN w ramach bezpośredniej ścieżki usługi ExpressRoute.
Ruch z platformy Azure do sieci lokalnych
To samo wymaganie dotyczy ruchu z platformy Azure do sieci lokalnych. Aby upewnić się, że ścieżka protokołu IPsec jest preferowana przez bezpośrednią ścieżkę usługi ExpressRoute (bez protokołu IPsec), dostępne są dwie opcje:
Anonsuj bardziej szczegółowe prefiksy w sesji protokołu BGP sieci VPN dla sieci VPN połączonej. Można anonsować większy zakres obejmujący sieć połączoną z siecią VPN za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute, a następnie bardziej szczegółowe zakresy w sesji protokołu BGP sieci VPN. Na przykład anonsuj 10.0.0.0/16 za pośrednictwem usługi ExpressRoute i 10.0.1.0/24 za pośrednictwem sieci VPN.
Anonsuj rozłączne prefiksy dla sieci VPN i usługi ExpressRoute. Jeśli zakresy sieci połączone z siecią VPN są rozłączne z innych połączonych sieci usługi ExpressRoute, możesz anonsować prefiksy odpowiednio w sesjach sieci VPN i protokołu BGP usługi ExpressRoute. Na przykład anonsuj 10.0.0.0/24 za pośrednictwem usługi ExpressRoute i 10.0.1.0/24 za pośrednictwem sieci VPN.
W obu tych przykładach platforma Azure wyśle ruch do wersji 10.0.1.0/24 za pośrednictwem połączenia sieci VPN, a nie bezpośrednio za pośrednictwem usługi ExpressRoute bez ochrony sieci VPN.
Ostrzeżenie
Jeśli anonsujesz te same prefiksy zarówno za pośrednictwem połączeń expressRoute, jak i vpn, platforma Azure użyje ścieżki usługi ExpressRoute bezpośrednio bez ochrony sieci VPN.
Zanim rozpoczniesz
Przed rozpoczęciem konfiguracji sprawdź, czy spełnione są następujące kryteria:
- Jeśli masz już sieć wirtualną, z którą chcesz nawiązać połączenie, sprawdź, czy żadna z podsieci sieci lokalnej nie nakłada się na nią. Sieć wirtualna nie wymaga podsieci bramy i nie może mieć żadnych bram sieci wirtualnych. Jeśli nie masz sieci wirtualnej, możesz go utworzyć, wykonując kroki opisane w tym artykule.
- Uzyskaj zakres adresów IP w regionie koncentratora. Piasta jest siecią wirtualną, a zakres adresów określony dla regionu koncentratora nie może pokrywać się z istniejącą siecią wirtualną, z którą nawiązujesz połączenie. Nie może również nakładać się na zakresy adresów, z którymi łączysz się lokalnie. Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, koordynuj się z osobą, która może podać te szczegóły.
- Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
1. Tworzenie wirtualnej sieci WAN i koncentratora z bramami
Przed kontynuowaniem należy wykonać następujące zasoby platformy Azure i odpowiednie konfiguracje lokalne:
- Wirtualna sieć WAN platformy Azure.
- Koncentrator wirtualnej sieci WAN z bramą usługi ExpressRoute i bramą sieci VPN.
Aby uzyskać instrukcje tworzenia wirtualnej sieci WAN platformy Azure i centrum za pomocą skojarzenia usługi ExpressRoute, zobacz Tworzenie skojarzenia usługi ExpressRoute przy użyciu usługi Azure Virtual WAN. Aby uzyskać instrukcje tworzenia bramy sieci VPN w wirtualnej sieci WAN, zobacz Tworzenie połączenia lokacja-lokacja przy użyciu usługi Azure Virtual WAN.
2. Tworzenie lokacji dla sieci lokalnej
Zasób lokacji jest taki sam jak lokacje sieci VPN spoza usługi ExpressRoute dla wirtualnej sieci WAN. Adres IP lokalnego urządzenia sieci VPN może teraz być prywatnym adresem IP lub publicznym adresem IP w sieci lokalnej dostępnym za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute utworzonej w kroku 1.
Uwaga
Adres IP lokalnego urządzenia sieci VPN musi być częścią prefiksów adresów anonsowanych do koncentratora wirtualnej sieci WAN za pośrednictwem prywatnej komunikacji równorzędnej usługi Azure ExpressRoute.
Przejdź do lokacji sieci VPN YourVirtualWAN > i utwórz lokację dla sieci lokalnej. Aby uzyskać podstawowe kroki, zobacz Tworzenie witryny. Pamiętaj o następujących wartościach ustawień:
- Border Gateway Protocol: wybierz pozycję "Włącz", jeśli sieć lokalna używa protokołu BGP.
- Prywatna przestrzeń adresowa: wprowadź przestrzeń adresową IP znajdującą się w lokacji lokalnej. Ruch przeznaczony dla tej przestrzeni adresowej jest kierowany do sieci lokalnej za pośrednictwem bramy sieci VPN.
Wybierz pozycję Łącza , aby dodać informacje o linkach fizycznych. Pamiętaj o następujących ustawieniach:
Nazwa dostawcy: nazwa dostawcy usług internetowych dla tej witryny. W przypadku sieci lokalnej usługi ExpressRoute jest to nazwa dostawcy usług ExpressRoute.
Szybkość: szybkość połączenia usługi internetowej lub obwodu usługi ExpressRoute.
Adres IP: publiczny adres IP urządzenia sieci VPN, który znajduje się w lokacji lokalnej. W przypadku lokalnej usługi ExpressRoute jest to prywatny adres IP urządzenia sieci VPN za pośrednictwem usługi ExpressRoute.
Jeśli protokół BGP jest włączony, dotyczy wszystkich połączeń utworzonych dla tej witryny na platformie Azure. Konfigurowanie protokołu BGP w wirtualnej sieci WAN jest równoważne skonfigurowaniu protokołu BGP w bramie sieci VPN platformy Azure.
Lokalny adres równorzędny protokołu BGP nie może być taki sam jak adres IP sieci VPN do urządzenia lub przestrzeni adresowej sieci wirtualnej lokacji sieci VPN. Na urządzeniu sieci VPN należy użyć innego adresu IP dla adresu IP elementu równorzędnego protokołu BGP. Może to być adres przypisany do interfejsu sprzężenia zwrotnego na urządzeniu. Jednak nie może to być usługa APIPA (169.254).x.x) adres. Określ ten adres w odpowiedniej lokacji sieci VPN, która reprezentuje lokalizację. Aby uzyskać informacje o wymaganiach wstępnych protokołu BGP, zobacz About BGP with Azure VPN Gateway (Informacje o protokole BGP w usłudze Azure VPN Gateway).
Wybierz pozycję Dalej: Przejrzyj i utwórz>, aby sprawdzić wartości ustawień i utworzyć lokację sieci VPN, a następnie utwórz lokację.
Następnie połącz lokację z centrum, korzystając z tych podstawowych kroków jako wskazówki. Zaktualizowanie bramy może potrwać do 30 minut.
3. Zaktualizuj ustawienie połączenia sieci VPN, aby używać usługi ExpressRoute
Po utworzeniu lokacji sieci VPN i nawiązaniu połączenia z koncentratorem wykonaj następujące kroki, aby skonfigurować połączenie do korzystania z prywatnej komunikacji równorzędnej usługi ExpressRoute:
Przejdź do koncentratora wirtualnego. Możesz to zrobić, przechodząc do wirtualnej sieci WAN i wybierając centrum, aby otworzyć stronę centrum, lub możesz przejść do połączonego koncentratora wirtualnego z lokacji sieci VPN.
W obszarze Łączność wybierz pozycję VPN (lokacja-lokacja).
Wybierz wielokropek (...) lub kliknij prawym przyciskiem myszy lokację sieci VPN za pośrednictwem usługi ExpressRoute, a następnie wybierz pozycję Edytuj połączenie sieci VPN z tym koncentratorem.
Na stronie Podstawowe pozostaw wartości domyślne.
Na stronie Łączenie połączenia 1 skonfiguruj następujące ustawienia:
- W obszarze Użyj prywatnego adresu IP platformy Azure wybierz pozycję Tak. Ustawienie konfiguruje bramę sieci VPN koncentratora do używania prywatnych adresów IP w zakresie adresów koncentratora w bramie dla tego połączenia, a nie publicznych adresów IP. Gwarantuje to, że ruch z sieci lokalnej przechodzi przez ścieżki prywatnej komunikacji równorzędnej usługi ExpressRoute zamiast korzystać z publicznego Internetu dla tego połączenia sieci VPN.
Kliknij przycisk Utwórz , aby zaktualizować ustawienia. Po utworzeniu ustawień brama sieci VPN koncentratora będzie używać prywatnych adresów IP w bramie sieci VPN do ustanawiania połączeń protokołu IPsec/IKE z lokalnym urządzeniem sieci VPN za pośrednictwem usługi ExpressRoute.
4. Pobieranie prywatnych adresów IP dla bramy sieci VPN koncentratora
Pobierz konfigurację urządzenia sieci VPN, aby uzyskać prywatne adresy IP bramy sieci VPN koncentratora. Te adresy są potrzebne do skonfigurowania lokalnego urządzenia sieci VPN.
Na stronie centrum wybierz pozycję VPN (lokacja-lokacja) w obszarze Łączność.
W górnej części strony Przegląd wybierz pozycję Pobierz konfigurację sieci VPN.
Platforma Azure tworzy konto magazynu w grupie zasobów "microsoft-network-[location],", gdzie lokalizacja jest lokalizacją sieci WAN. Po zastosowaniu konfiguracji do urządzeń sieci VPN możesz usunąć to konto magazynu.
Po utworzeniu pliku wybierz link, aby go pobrać.
Zastosuj konfigurację na urządzeniu sieci VPN.
Plik konfiguracji urządzenia sieci VPN
Plik konfiguracji urządzenia zawiera ustawienia, które mają być używane podczas konfigurowania lokalnego urządzenia sieci VPN. Podczas przeglądania tego pliku należy zwrócić uwagę na następujące informacje:
vpnSiteConfiguration: ta sekcja określa szczegóły urządzenia skonfigurowane jako lokacja łącząca się z wirtualną siecią WAN. Zawiera ona nazwę i publiczny adres IP urządzenia gałęzi.
vpnSiteConnections: Ta sekcja zawiera informacje o następujących ustawieniach:
- Przestrzeń adresowa sieci wirtualnej koncentratora wirtualnego.
Przykład:"AddressSpace":"10.51.230.0/24"
- Przestrzeń adresowa sieci wirtualnych połączonych z koncentratorem.
Przykład:"ConnectedSubnets":["10.51.231.0/24"]
- Adresy IP bramy sieci VPN koncentratora wirtualnego. Ponieważ każde połączenie bramy sieci VPN składa się z dwóch tuneli w konfiguracji aktywne-aktywne, zobaczysz oba adresy IP wymienione w tym pliku. W tym przykładzie zobaczysz
Instance0
iInstance1
dla każdej witryny i są to prywatne adresy IP zamiast publicznych adresów IP.
Przykład:"Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
- Szczegóły konfiguracji połączenia bramy sieci VPN, takie jak protokół BGP i klucz wstępny. Klucz wstępny jest generowany automatycznie. Zawsze możesz edytować połączenie na stronie Przegląd niestandardowego klucza wstępnego.
- Przestrzeń adresowa sieci wirtualnej koncentratora wirtualnego.
Przykładowy plik konfiguracji urządzenia
[{
"configurationVersion":{
"LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
"Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
},
"vpnSiteConfiguration":{
"Name":"VPN-over-ER-site",
"IPAddress":"172.24.127.211",
"LinkName":"VPN-over-ER"
},
"vpnSiteConnections":[{
"hubConfiguration":{
"AddressSpace":"10.51.230.0/24",
"Region":"West US 2",
"ConnectedSubnets":["10.51.231.0/24"]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"10.51.230.4",
"Instance1":"10.51.230.5"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"abc123",
"IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
}
}]
},
{
"configurationVersion":{
"LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
"Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
},
"vpnSiteConfiguration":{
"Name":"VPN-over-INet-site",
"IPAddress":"198.51.100.122",
"LinkName":"VPN-over-INet"
},
"vpnSiteConnections":[{
"hubConfiguration":{
"AddressSpace":"10.51.230.0/24",
"Region":"West US 2",
"ConnectedSubnets":["10.51.231.0/24"]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"203.0.113.186",
"Instance1":"203.0.113.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"abc123",
"IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
}
}]
}]
Konfigurowanie urządzenia sieci VPN
Jeśli chcesz wiedzieć, jak skonfigurować urządzenie, możesz skorzystać z instrukcji na stronie ze skryptami konfigurowania urządzenia sieci VPN, z następującymi zastrzeżeniami:
- Instrukcje na stronie urządzenia sieci VPN nie są napisane dla wirtualnej sieci WAN. Można jednak użyć wartości wirtualnej sieci WAN z pliku konfiguracji, aby ręcznie skonfigurować urządzenie sieci VPN.
- Skrypty konfiguracji urządzenia do pobrania, które są przeznaczone dla bramy sieci VPN, nie działają dla wirtualnej sieci WAN, ponieważ konfiguracja jest inna.
- Nowa wirtualna sieć WAN może obsługiwać protokoły IKEv1 i IKEv2.
- Wirtualna sieć WAN może używać tylko urządzeń sieci VPN opartych na trasach i instrukcji dotyczących urządzeń.
5. Wyświetlanie wirtualnej sieci WAN
- Przejdź do wirtualnej sieci WAN.
- Na stronie Przegląd każdy punkt na mapie reprezentuje koncentrator.
- W sekcji Koncentratory i połączenia można wyświetlić stan połączenia koncentratora, lokacji, regionu i sieci VPN. Możesz również wyświetlać bajty w i na wyjęcie.
6. Monitorowanie połączenia
Utwórz połączenie do monitorowania komunikacji między maszyną wirtualną platformy Azure a lokacją zdalną. Aby uzyskać informacje dotyczące konfigurowania monitora połączeń, zobacz Monitorowanie komunikacji sieciowej. Pole źródłowe to adres IP maszyny wirtualnej na platformie Azure, a docelowy adres IP to adres IP lokacji.
7. Czyszczenie zasobów
Gdy nie potrzebujesz już tych zasobów, możesz użyć polecenia Remove-AzResourceGroup , aby usunąć grupę zasobów i wszystkie zawarte w niej zasoby. Uruchom następujące polecenie programu PowerShell i zastąp ciąg myResourceGroup
nazwą grupy zasobów:
Remove-AzResourceGroup -Name myResourceGroup -Force
Następne kroki
Ten artykuł ułatwia utworzenie połączenia sieci VPN za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute przy użyciu usługi Virtual WAN. Aby dowiedzieć się więcej o usłudze Virtual WAN i powiązanych funkcjach, zobacz Omówienie usługi Virtual WAN.