Реализация шифрования через ExpressRoute

  • 7 мин

Разверните Azure Виртуальная глобальная сеть, чтобы установить VPN-подключение IPsec/IKE из локальной сети в Azure через частный пиринг канала Azure ExpressRoute. Эта методика обеспечивает зашифрованную передачу данных между локальными сетями и виртуальными сетями Azure через ExpressRoute без выхода в Интернет и использования общедоступных IP-адресов.

Топология и маршрутизация

Схема, на которой показан пример топологии и маршрутизации экспресс-маршрутов Azure.

На схеме показана сеть в локальной сети, которая подключена к VPN-шлюзу центра Azure через частный пиринг ExpressRoute. Установка подключения предельно проста:

  1. Установите подключение ExpressRoute, используя канал ExpressRoute и частный пиринг.
  2. Установите VPN-подключение, как описано в примере.

Важным аспектом этой конфигурации является маршрутизация между локальными сетями и Azure по путям ExpressRoute и VPN.

Трафик из локальных сетей в Azure

Для трафика из локальных сетей в Azure префиксы Azure (включая виртуальный концентратор и все периферийные виртуальные сети, подключенные к нему) объявляются через BGP частного пиринга ExpressRoute и BGP VPN. В результате создается два сетевых маршрута (пути) к Azure из локальных сетей:

  • Один через путь, защищенный с помощью IPsec
  • Один сетевой маршрут напрямую через ExpressRoute без защиты IPsec

Чтобы применить шифрование при обмене данными, необходимо проследить, чтобы для сети, подключенной к VPN (см. схему), маршруты Azure через локальный VPN-шлюз были предпочтительнее, чем путь напрямую через ExpressRoute.

Трафик из Azure в локальные сети

Это же требование распространяется на трафик из Azure в локальные сети. Путь IPsec можно сделать более предпочтительным, чем путь напрямую через ExpressRoute (без IPsec) двумя способами.

Объявление более конкретных префиксов в сеансе BGP в сети VPN для сети, подключенной к VPN. Вы можете объявить более широкий диапазон, охватывающий подключенную к VPN сеть через частный пиринг ExpressRoute, а затем объявить более конкретные диапазоны в сеансе BGP в сети VPN. Например, объявите 10.0.0.0/16 через ExpressRoute и 10.0.1.0/24 через VPN.

Объявление несвязанных префиксов для VPN и ExpressRoute. Если диапазоны сетей, подключенных к VPN, не связаны с другими подключенными сетями ExpressRoute, можно объявить префиксы в сеансах BGP в сети VPN и ExpressRoute соответственно. Например, объявите 10.0.0.0/24 через ExpressRoute и 10.0.1.0/24 через VPN.

В обоих примерах Azure будет передавать трафик на 10.0.1.0/24 через VPN-подключение, а не напрямую через ExpressRoute без защиты VPN.

Подготовка к работе

Перед началом настройки убедитесь, что выполнены следующие условия.

  • Если у вас уже есть виртуальная сеть, к которой вы хотите подключиться, проверьте, что ни одна из подсетей локальной сети не перекрывается с ней. Вашей виртуальной сети не нужна подсеть шлюза, и в ней не должны находиться виртуальные сетевые шлюзы. Если у вас нет виртуальной сети, вы можете создать ее, выполнив шаги, приведенные в этой статье.
  • Получите диапазон IP-адресов для вашего региона концентратора. Концентратор — это виртуальная сеть, и диапазон адресов, который вы указываете для региона концентратора, не может пересекаться с существующей виртуальной сетью, к которой вы подключаетесь. Кроме того, указанный диапазон не может пересекаться с диапазонами адресов, к которым вы подключаетесь локально. Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.
  • Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

1. Создание виртуальной глобальной сети и концентратора со шлюзами

Прежде чем продолжать, необходимо настроить следующие ресурсы Azure и соответствующие локальные конфигурации:

  • Виртуальная глобальная сеть Azure.
  • Концентратор виртуальной глобальной сети с ExpressRoute и шлюзом виртуальной частной сети.

2. Создание сайта для локальной сети

Ресурс сайта совпадает с VPN-сайтами без ExpressRoute для виртуальной глобальной сети. IP-адрес локального VPN-устройства теперь может быть частным IP-адресом или общедоступным IP-адресом в локальной сети, доступной через ранее созданную конфигурацию частного пиринга ExpressRoute.

  1. Перейдите к Виртуальная глобальная сеть, VPN-сайтам и создайте сайт для локальной сети. Имейте в виду следующие значения параметров:

    • Протокол BGP: выберите "Enable" (Включить), если ваша локальная сеть использует BGP.
    • Частное адресное пространство: введите пространство IP-адресов, которое находится на локальном сайте. Трафик, предназначенный для этого адресного пространства, направляется в локальную сеть через VPN-шлюз.

  2. Выберите ссылки, чтобы добавить сведения о физических ссылках. Имейте в виду следующие сведения о параметрах:

    • Имя поставщика: имя поставщика услуг Интернета для сайта. Для локальной сети ExpressRoute это имя поставщика службы ExpressRoute.
    • Скорость: скорость ссылки интернет-службы или канала ExpressRoute.
    • IP-адрес: общедоступный IP-адрес VPN-устройства на вашем локальном сайте. Либо для локальной сети ExpressRoute это частный IP-адрес VPN-устройства через ExpressRoute.
    • Если BGP включен, он применяется ко всем подключениям, созданным для этого сайта в Azure. В Виртуальной глобальной сети протокол BGP настраивается точно так же, как и в VPN-шлюзе Azure.
    • Локальный узел BGP не должен иметь IP-адрес VPN-устройства или входить в диапазон IP-адресов виртуальной сети VPN-сайта. Используйте в качестве IP-адреса узла BGP другой IP-адрес VPN-устройства. Можно использовать адрес интерфейса замыкания на себя. Но это не может быть APIPA-адрес (169.254.x.x). Укажите этот адрес на соответствующем сайте VPN, который представляет это расположение.

  3. Нажмите кнопку "Далее": проверьте и создайте значения параметров и создайте VPN-сайт, а затем создайте сайт.

  4. Затем подключите сайт к центру. Обновление шлюза может занять до 30 минут.

3. Обновление параметров подключения VPN для использования ExpressRoute

После создания VPN-сайта и подключения к концентратору выполните следующие действия, чтобы настроить подключение для использования частного пиринга ExpressRoute.

  1. Перейдите в виртуальный концентратор. Это можно сделать, перейдя в Виртуальная глобальная сеть и выбрав концентратор, чтобы открыть центральную страницу, или перейти на подключенный виртуальный концентратор с VPN-сайта.

  2. В разделе Connectivity (Подключение) выберите VPN (Site-to-Site) (VPN: сайт — сайт).

  3. Выберите многоточие (...) или щелкните правой кнопкой мыши VPN-сайт через ExpressRoute и выберите пункт Изменить VPN-подключение к этому концентратору.

  4. На странице "Основы" оставьте значения по умолчанию.

  5. На странице подключения канала 1 настройте следующие параметры:

    • Для Use Azure Private IP Address (Использовать частный IP-адрес Azure) выберите Yes. Этот параметр настраивает VPN-шлюз концентратора для использования частных IP-адресов в пределах диапазона адресов концентратора для этого подключения, а не общедоступных IP-адресов. Это гарантирует, что трафик из локальной сети проходит через пути частного пиринга ExpressRoute, а не через общедоступный Интернет для этого VPN-подключения.

  6. Нажмите кнопку "Создать" , чтобы обновить параметры. После создания параметров VPN-шлюз концентратора будет использовать частные IP-адреса в VPN-шлюзе, чтобы установить подключения IPsec/IKE с локальным VPN-устройством через ExpressRoute.

4. Получение частных IP-адресов для VPN-шлюза концентратора

Скачайте конфигурацию VPN-устройства, чтобы получить частные IP-адреса VPN-шлюза концентратора. Эти адреса необходимы для настройки локального VPN-устройства.

  1. На странице центра выберите VPN (Site-to-Site) (VPN: сайт — сайт) в разделе Connectivity (Подключение).
  2. В верхней части страницы обзора выберите "Скачать VPN-конфигурацию". Azure создает учетную запись хранения в группе ресурсов "microsoft-network-[location], где расположение — расположение глобальной сети. Применив конфигурацию к VPN-устройствам, вы можете удалить эту учетную запись хранения.
  3. После создания файла щелкните ссылку, чтобы скачать его.
  4. Примените конфигурацию к VPN-устройству.

Файл конфигурации VPN-устройства

Файл конфигурации устройства содержит параметры, которые необходимо использовать при настройке локального VPN-устройства. При просмотре этого файла обратите внимание на следующие сведения:

  • vpnSiteConfiguration. В этом разделе описывается настройка сведений об устройстве как сайт, который подключается к виртуальной глобальной сети. Они содержат имя и общедоступный IP-адрес устройства филиала.

  • vpnSiteConnections: в этом разделе представлены следующие параметры:

    • Адресное пространство виртуальной сети виртуальных концентраторов.
      Пример: "AddressSpace":"10.51.230.0/24"
    • Адресное пространство виртуальных сетей, подключенных к концентратору.
      Пример: "ConnectedSubnets":["10.51.231.0/24"]
    • IP-адреса VPN-шлюзов виртуального концентратора. Так как каждое подключение VPN-шлюза состоит из двух туннелей в конфигурации "активный — активный", в этом файле будут указаны оба IP-адреса. В этом примере для каждого сайта отображается экземпляр0 и экземпляр1, а не общедоступные IP-адреса.
      Пример: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Сведения о конфигурации для подключения VPN-шлюза, например BGP и предварительного ключа. Предварительный ключ создается автоматически. Вы всегда можете изменить подключение на странице обзора для пользовательского предварительно общего ключа.

Настройка VPN-устройства

Если вам нужны инструкции по настройке устройства, см. раздел Загрузка сценариев конфигурации VPN-устройства из Azure. При этом учтите следующее:

  • Инструкции на странице VPN-устройства не записываются для виртуальной глобальной сети. Однако вы можете использовать значения виртуальной глобальной сети из файла конфигурации, чтобы настроить VPN-устройство вручную.
  • Скачиваемые скрипты конфигурации устройства, предназначенные для VPN-шлюза, не подходят для виртуальной глобальной сети, так как ее конфигурация отличается.
  • Новая виртуальная глобальная сеть поддерживает IKEv1 и IKEv2.
  • Виртуальная глобальная сеть может использовать только VPN-устройства на основе маршрута и инструкции устройства.

5. Просмотр виртуальной глобальной сети

  1. Перейдите в виртуальную глобальную сеть.
  2. На странице Обзор каждая точка на карте представляет собой концентратор.
  3. В разделе Hubs and connections (Концентраторы и подключения) можно просмотреть сведения о состоянии концентратора, сайте, регионе и состоянии VPN-подключения. Кроме того, можно просматривать принятые и переданные байты.

6. Мониторинг подключения

Создайте подключение для мониторинга связи между виртуальной машиной Azure (ВМ) и удаленным сайтом.