Implementar criptografia sobre o ExpressRoute

  • 7 minutos

Implante a WAN Virtual do Azure para estabelecer uma conexão VPN IPsec/IKE de sua rede local para o Azure por meio do emparelhamento privado de um circuito do Azure ExpressRoute. Essa técnica fornece trânsito criptografado entre as redes locais e as redes virtuais do Azure no ExpressRoute sem passar pela Internet pública nem usar endereços IP públicos.

Topologia e roteamento

Diagrama mostrando um exemplo de topologia e roteamento da rota expressa do Azure.

O diagrama mostra uma rede na rede local conectada ao gateway de VPN do hub do Azure no emparelhamento privado do ExpressRoute. O estabelecimento da conectividade é simples:

  1. Estabeleça a conectividade do ExpressRoute com um circuito do ExpressRoute e emparelhamento privado.
  2. Estabeleça a conectividade VPN conforme descrito no exemplo.

Um aspecto importante dessa configuração é o roteamento entre as redes locais e o Azure por meio do ExpressRoute e dos caminhos de VPN.

Tráfego de redes locais para o Azure

Para o tráfego de redes locais para o Azure, os prefixos do Azure (incluindo o hub virtual e todas as redes virtuais spoke conectadas ao hub) são anunciados por meio do BGP de emparelhamento privado do ExpressRoute e do BGP de VPN. Isso resulta em duas rotas de rede (caminhos) das redes locais para o Azure:

  • Um no caminho protegido por IPsec
  • Um diretamente no ExpressRoute sem proteção de IPsec

Para aplicar a criptografia à comunicação, verifique se na rede conectada à VPN no diagrama as rotas do Azure por meio do gateway de VPN local são preferenciais em relação ao caminho direto do ExpressRoute.

Tráfego do Azure para as redes locais

O mesmo requisito se aplica ao tráfego do Azure para as redes locais. Para garantir que o caminho IPsec seja preferencial em relação ao caminho direto do ExpressRoute (sem IPsec), você tem duas opções:

Anuncie prefixos mais específicos na sessão BGP da VPN para a rede conectada à VPN. É possível anunciar um intervalo maior que abrange a rede conectada à VPN por meio do emparelhamento privado do ExpressRoute e intervalos mais específicos na sessão BGP da VPN. Por exemplo, anuncie 10.0.0.0/16 por meio do ExpressRoute e 10.0.1.0/24 pela VPN.

Anuncie prefixos separados para a VPN e o ExpressRoute. Se os intervalos de rede conectados à VPN forem separados de outras redes conectadas do ExpressRoute, você poderá anunciar os prefixos nas sessões de VPN e BGP do ExpressRoute, respectivamente. Por exemplo, anuncie 10.0.0.0/24 por meio do ExpressRoute e 10.0.1.0/24 pela VPN.

Em ambos os exemplos, o Azure enviará tráfego para 10.0.1.0/24 pela conexão VPN em vez de diretamente pelo ExpressRoute sem proteção de VPN.

Antes de começar

Antes de iniciar sua configuração, verifique se você atende aos seguintes critérios:

  • Se você já tem uma rede virtual à qual deseja se conectar, verifique se nenhuma das sub-redes de sua rede local se sobrepõe a ela. Sua rede virtual não requer uma sub-rede de gateway e não pode ter nenhum gateway de rede virtual. Se você não tiver uma rede virtual, poderá criar uma usando as etapas deste artigo.
  • Obtenha um intervalo de endereços IP para sua região de hub. O hub é uma rede virtual e o intervalo de endereços que você especifica para a região do hub não pode se sobrepor a uma rede virtual existente à qual você se conecta. Ele também não pode se sobrepor aos intervalos de endereços aos quais você se conecta no local. Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, converse com alguém que possa fornecer esses detalhes para você.
  • Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

1. Crie uma WAN Virtual e um hub com gateways

Estes recursos do Azure e as configurações locais correspondentes devem estar em vigor antes de você continuar:

  • Uma WAN virtual do Azure.
  • Um hub WAN virtual com um ExpressRoute e um gateway de Rede Virtual Privada.

2. Criar um site para a rede local

O recurso do site é o mesmo que os sites VPN não ExpressRoute de uma WAN Virtual. O endereço IP do dispositivo VPN local agora pode ser um endereço IP privado ou um endereço IP público na rede local acessível por meio da configuração de emparelhamento privado do ExpressRoute criada anteriormente.

  1. Vá para a Sua WAN Virtual, sites VPN e crie um site para sua rede local. Tenha em mente os seguintes valores de configurações:

    • Border Gateway Protocol: selecione "Habilitar" se a rede local usar o BGP.
    • Espaço de endereço privado: insira o espaço de endereços IP localizado no local. O tráfego destinado a esse espaço de endereço é roteado para a rede local por meio do gateway de VPN.

  2. Selecione Links para adicionar informações sobre os links físicos. Tenha em mente os seguintes valores de configurações:

    • Nome do Provedor: o nome do provedor de serviços de Internet do site. Para uma rede local do ExpressRoute, é o nome do provedor de serviços do ExpressRoute.
    • Velocidade: a velocidade do link do serviço de Internet ou do circuito do ExpressRoute.
    • Endereço IP: o endereço IP público do dispositivo VPN que reside no site local. Ou, para o ExpressRoute local, é o endereço IP privado do dispositivo VPN por meio do ExpressRoute.
    • Se o BGP estiver habilitado, ele será aplicado a todas as conexões criadas para o site no Azure. Configurar o BGP em uma WAN Virtual é equivalente a configurar o BGP em um gateway de VPN do Azure.
    • Seu endereço de par no nível de protocolo BGP local não pode ser igual ao endereço IP do VPN do dispositivo nem do espaço de endereço da rede virtual do site VPN. Use um endereço IP diferente no dispositivo VPN para o IP de par no nível de protocolo BGP. Pode ser um endereço atribuído à interface de loopback no dispositivo. No entanto, ele não pode ser um endereço APIPA (169.254.x.x). Especifique esse endereço no site VPN correspondente que representa a localização.

  3. Selecione Avançar: examinar + criar para verificar os valores de configuração e criar o site VPN e, em seguida, em Criar o site.

  4. Em seguida, conecte o site ao hub. Pode levar até 30 minutos para atualizar o gateway.

3. Atualizar a configuração da conexão VPN para usar o ExpressRoute

Depois de criar o site VPN e se conectar ao hub, siga estas etapas para configurar a conexão para usar o emparelhamento privado do ExpressRoute:

  1. Acesse o hub virtual. Você pode fazer isso acessando o WAN Virtual e selecionando o hub para abrir a página do hub ou pode acessar o hub virtual conectado no site VPN.

  2. Em Conectividade, selecione VPN (Site a Site) .

  3. Clique nas reticências () ou clique com o botão direito do mouse no site VPN no ExpressRoute e selecione Editar conexão VPN desse hub.

  4. Na página Noções básicas, deixe os padrões.

  5. Na página Vincular conexão 1, defina as seguintes configurações:

    • Em Usar o Endereço IP Privado do Azure, selecione Sim. A configuração define o gateway de VPN do hub para usar endereços IP privados dentro do intervalo de endereços do hub no gateway para essa conexão, em vez dos endereços IP públicos. Isso garantirá que o tráfego da rede local percorra os caminhos de emparelhamento privado do ExpressRoute em vez de usar a Internet pública para essa conexão VPN.

  6. Clique em Criar para atualizar as configurações. Depois que as configurações forem criadas, o gateway de VPN do hub usará os endereços IP privados no gateway de VPN para estabelecer as conexões IPsec/IKE com o dispositivo de VPN local no ExpressRoute.

4. Obter os endereços IP privados do gateway de VPN do hub

Baixe a configuração do dispositivo VPN para obter os endereços IP privados do gateway de VPN do hub. Você precisa desses endereços para configurar o dispositivo VPN local.

  1. Na página do hub, selecione VPN (Site a Site) em Conectividade.
  2. Na parte superior da página Visão geral, selecione Baixar Configuração de VPN. O Azure cria uma conta de armazenamento no grupo de recursos "microsoft-network-[location]", onde o local é o local da WAN. Após aplicar a configuração a seus dispositivos VPN, exclua essa conta de armazenamento.
  3. Depois que o arquivo for criado, clique no link para baixá-lo.
  4. Aplique a configuração ao dispositivo VPN.

Arquivo de configuração do dispositivo VPN

O arquivo de configuração do dispositivo contém as definições a serem usadas ao configurar o dispositivo VPN local. Ao exibir esse arquivo, observe as seguintes informações:

  • vpnSiteConfiguration: Esta seção indica a configuração de detalhes do dispositivo como um site que está se conectando à WAN virtual. Inclui o nome e o endereço IP público do dispositivo de branch.

  • vpnSiteConnections: essa seção fornece informações sobre estas configurações:

    • Espaço de endereço dos hubs virtuais da rede virtual.
      Exemplo: "AddressSpace":"10.51.230.0/24"
    • Espaço de endereço das redes virtuais conectadas ao hub.
      Exemplo: "ConnectedSubnets":["10.51.231.0/24"]
    • Endereços IP do gateway de VPN do hub virtual. Como cada conexão do gateway de VPN é composta por dois túneis na configuração ativa-ativa, você vê os dois endereços IP listados neste arquivo. Neste exemplo, você vê Instância0 e Instância1 para cada site e eles são endereços IP privados em vez de endereços IP públicos.
      Exemplo: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Detalhes de configuração para a conexão do gateway de VPN, como BGP e chave pré-compartilhada. A chave pré-compartilhada é gerada automaticamente para você. Você sempre pode editar a conexão na página Visão Geral de uma chave pré-compartilhada personalizada.

Configurar o dispositivo VPN

Se você precisar de instruções para configurar o dispositivo, poderá usar as instruções sobre a página de scripts de configuração de dispositivo VPN com as seguintes condições:

  • As instruções na página do dispositivo VPN não foram criadas para uma WAN Virtual. Mas você pode usar os valores de WAN Virtual do arquivo de configuração para definir o dispositivo VPN manualmente.
  • Os scripts de configuração de dispositivo que podem ser baixados para o gateway de VPN não funcionam para a WAN Virtual, já que a configuração é diferente.
  • Uma nova WAN Virtual pode ser compatível com IKEv1 e IKEv2.
  • A WAN Virtual só pode usar dispositivos VPN baseados em rota e instruções do dispositivo.

5. Ver a WAN Virtual

  1. Acesse a WAN Virtual.
  2. Na página Visão Geral, cada ponto no mapa representa um hub.
  3. Na seção Hubs e conexões, é possível ver o status do hub, do site, da região e da conexão de VPN, bem como os bytes de entrada e saída.

6. Monitorar uma conexão

Crie uma conexão para monitorar a comunicação entre uma VM (máquina virtual) do Azure e um site remoto.