Dela via

Simulera fjärrnätverksanslutning med Azure VNG

  • Artikel

Organisationer kanske vill utöka funktionerna i Microsoft Entra internetåtkomst till hela nätverk, inte bara enskilda enheter som de kan installera den globala säkra åtkomstklienten på. Den här artikeln visar hur du utökar dessa funktioner till ett virtuellt Azure-nätverk som finns i molnet. Liknande principer kan tillämpas på en kunds lokala nätverksutrustning.

Förutsättningar

För att slutföra stegen i den här processen måste du ha följande förutsättningar på plats:

Komponenter i det virtuella nätverket

Genom att skapa den här funktionen i Azure kan organisationer förstå hur Microsoft Entra internetåtkomst fungerar i en mer omfattande implementering. De resurser vi skapar i Azure motsvarar lokala begrepp på följande sätt:

Diagram som visar ett virtuellt nätverk i Azure som är anslutet till Microsoft Entra Internetåtkomst och som simulerar en kunds nätverk.

Azure-resurs Traditionell på plats-komponent
Virtuellt nätverk Ditt lokala IP-adressutrymme
Virtuell nätverksgateway Din lokala router, som ibland kallas kundlokal utrustning (CPE)
Lokal nätverksgateway Den Microsoft-gateway som routern (virtuell Azure-nätverksgateway) skapar en IPsec-tunnel till
Anslutning IPsec VPN-tunnel som skapats mellan den virtuella nätverksgatewayen och den lokala nätverksgatewayen
Virtuell dator Klientenheter i ditt lokala nätverk

I det här dokumentet använder vi följande standardvärden. Du kan konfigurera de här inställningarna enligt dina egna krav.

  • Prenumeration: Visual Studio Enterprise
  • Resursgruppsnamn: Network_Simulation
  • Region: USA, östra

Steg på hög nivå

Stegen för att simulera fjärrnätverksanslutning med virtuella Azure-nätverk slutförs i Azure Portal och administrationscentret för Microsoft Entra. Det kan vara bra att ha flera flikar öppna så att du enkelt kan växla mellan dem.

Innan du skapar dina virtuella resurser behöver du en resursgrupp och ett virtuellt nätverk som ska användas i följande avsnitt. Om du redan har konfigurerat en testresursgrupp och ett virtuellt nätverk kan du börja i steg 3.

  1. Skapa en resursgrupp (Azure Portal)
  2. Skapa ett virtuellt nätverk (Azure Portal)
  3. Skapa en virtuell nätverksgateway (Azure Portal)
  4. Skapa ett fjärrnätverk med enhetslänkar (Administrationscenter för Microsoft Entra)
  5. Skapa lokal nätverksgateway (Azure Portal)
  6. Skapa plats-till-plats-VPN-anslutning (S2S) (Azure Portal)
  7. Verifiera anslutningen (båda)

Skapa en resursgrupp

Skapa en resursgrupp som ska innehålla alla nödvändiga resurser.

  1. Logga in på Azure Portal med behörighet att skapa resurser.
  2. Bläddra till Resursgrupper.
  3. Välj Skapa.
  4. Välj din prenumeration, region och ange ett namn för resursgruppen.
  5. Välj Granska + skapa.
  6. Bekräfta din information och välj sedan Skapa.

Skärmbild av fälten skapa en resursgrupp.

Skapa ett virtuellt nätverk

Skapa ett virtuellt nätverk i den nya resursgruppen.

  1. Från Azure Portal bläddrar du till Virtuella nätverk.
  2. Välj Skapa.
  3. Välj den resursgrupp som du nyss skapade.
  4. Ange ett virtuellt nätverksnamn för nätverket.
  5. Lämna standardvärdena för de andra fälten.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Skärmdump av fälten för att skapa ett virtuellt nätverk.

Skapa en virtuell nätverksgateway

Skapa en virtuell nätverksgateway i den nya resursgruppen.

  1. Från Azure Portal bläddrar du till Virtuella nätverksgatewayer.

  2. Välj Skapa.

  3. Ange en virtuell nätverksgateway med ett Namn och välj lämplig region.

  4. Välj det virtuella nätverk som skapades i föregående avsnitt.

    Skärmbild av Azure Portal som visar konfigurationsinställningar för en virtuell nätverksgateway.

  5. Skapa en offentlig IP-adress och ange den med beskrivande namn.

    • VALFRITT: Om du vill ha en sekundär IPsec-tunnel under avsnittet ANDRA OFFENTLIGA IP-ADRESS skapar du en annan offentlig IP-adress och ger den ett namn. Om du skapar en andra IPsec-tunnel måste du skapa två enhetslänkar i steget Skapa ett fjärrnätverk .
    • Ange Aktivera aktivt-aktivt läge till Inaktiverat om du inte behöver en andra offentlig IP-adress.
    • Exemplet i den här artikeln använder en enda IPsec-tunnel.

  6. Välj en tillgänglighetszon.

  7. Ange Konfigurera BGP till Aktiverad.

  8. Ange det autonoma systemnumret (ASN) till ett lämpligt värde. Se listan med giltiga ASN-värden för reserverade värden som inte kan användas.

    Skärmbild av IP-adressfälten för att skapa en virtuell nätverksgateway.

  9. Lämna alla andra inställningar till sina standardvärden eller tomma.

  10. Välj Granska + skapa. Bekräfta inställningarna.

  11. Välj Skapa.

Kommentar

Det kan ta flera minuter att distribuera och skapa den virtuella nätverksgatewayen. Du kan starta nästa avsnitt medan det skapas, men du behöver de offentliga IP-adresserna för din virtuella nätverksgateway för att slutföra nästa steg.

Om du vill visa dessa IP-adresser bläddrar du till sidan Konfiguration för din virtuella nätverksgateway när den har distribuerats.

Skärmbild som visar hur du hittar offentliga IP-adresser för en virtuell nätverksgateway.

Skapa ett fjärrnätverk

Processen för att skapa ett fjärrnätverk slutförs i administrationscentret för Microsoft Entra. Det finns två uppsättningar flikar där du anger informationen.

Skärmbild av de två uppsättningar flikar som används i processen.

Följande steg innehåller den grundläggande information som behövs för att skapa ett fjärrnätverk med global säker åtkomst. Den här processen beskrivs mer detaljerat i två separata artiklar. Det finns flera detaljer som enkelt kan blandas ihop, så läs följande artiklar för mer information:

Zon-redundans

Innan du skapar fjärrnätverket för global säker åtkomst bör du ta en stund att granska de två alternativen för redundans. Fjärrnätverk kan skapas med eller utan redundans. Du kan lägga till redundans på två sätt:

  • Välj Zonredundans när du skapar en enhetslänk i administrationscentret för Microsoft Entra.
    • I det här scenariot skapar vi en annan gateway åt dig i en annan tillgänglighetszon i samma datacenterregion som du valde när du skapade fjärrnätverket.
    • I det här scenariot behöver du bara en offentlig IP-adress på din virtuella nätverksgateway.
    • Två IPSec-tunnlar skapas från samma offentliga IP-adress för routern till olika Microsoft-gatewayer i olika tillgänglighetszoner.
  • Skapa en sekundär offentlig IP-adress i Azure Portal och skapa två enhetslänkar med olika offentliga IP-adresser i administrationscentret för Microsoft Entra.
    • Du kan välja Ingen redundans och sedan när du lägger till enhetslänkar till fjärrnätverket i administrationscentret för Microsoft Entra.
    • I det här scenariot behöver du primära och sekundära offentliga IP-adresser på din virtuella nätverksgateway.

I den här artikeln väljer vi zonredundansmetoden.

Tips

Lokal BGP-adress måste vara en privat IP-adress som ligger utanför adressutrymmet för det virtuella nätverk som är associerat med din virtuella nätverksgateway. Om adressutrymmet för det virtuella nätverket till exempel är 10.1.0.0/16 kan du använda 10.2.0.0 som din lokala BGP-adress.

Se listan över giltiga BGP-adresser för reserverade värden som inte kan användas.

  1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
  2. Bläddra till Global Secure Access>Anslut>Fjärrnätverk.
  3. Välj knappen Skapa fjärrnätverk och ange följande information på fliken Grundläggande:
    • Namn
    • Region

Skärmbild av fliken Grundläggande för att skapa ett fjärrnätverk.

  1. På fliken Anslutning väljer du Lägg till en länk.

  2. På fliken Lägg till en länk – Allmänt anger du följande information:

    • Länknamn: Namnet på din kundlokal utrustning (CPE).
    • Enhetstyp: Välj ett enhetsalternativ i listrutan.
    • Enhetens IP-adress: Offentlig IP-adress för din CPE-enhet (kundlokal utrustning).
    • Enhetens BGP-adress: Ange BGP IP-adressen för din CPE.
      • Den här adressen anges som den lokala BGP IP-adressen i CPE.
    • Enhets-ASN: Ange det autonoma systemnumret (ASN) för CPE.
    • Redundans: Välj antingen Ingen redundans eller Zonredundans för DIN IPSec-tunnel.
    • Lokal BGP-adress för zonredundans: Det här valfria fältet visas endast när du väljer Zonredundans.
      • Ange en BGP IP-adress som inte är en del av ditt lokala nätverk där DIN CPE finns och skiljer sig från enhetens BGP-adress.
    • Bandbreddskapacitet (Mbit/s): Ange tunnelbandbredd. Tillgängliga alternativ är 250, 500, 750 och 1 000 Mbit/s.
    • Lokal BGP-adress: Ange en BGP IP-adress som inte ingår i ditt lokala nätverk där CPE finns.
      • Om ditt lokala nätverk till exempel är 10.1.0.0/16 kan du använda 10.2.0.4 som din lokala BGP-adress.
      • Den här adressen anges som peer-BGP IP-adress i din CPE.
      • Se listan över giltiga BGP-adresser för reserverade värden som inte kan användas.

    Skärmbild av fliken Lägg till en länk – Allmänt med exempel i varje fält.

  3. På fliken Lägg till en länk – Information lämnar du standardvärdena markerade, såvida du inte har gjort ett annat val tidigare och väljer knappen Nästa .

  4. På fliken Lägg till en länk – säkerhet anger du den i förväg delade nyckeln (PSK) och väljer knappen Spara . Du återgår till huvuduppsättningen Skapa ett fjärrnätverk med flikar.

  5. På fliken Trafikprofiler väljer du lämplig profil för vidarebefordran av trafik.

  6. Välj knappen Granska + skapa.

  7. Om allt ser korrekt ut väljer du knappen Skapa fjärrnätverk .

Visa anslutningskonfiguration

När du har skapat ett fjärrnätverk och lagt till en enhetslänk är konfigurationsinformationen tillgänglig i administrationscentret för Microsoft Entra. Du behöver flera detaljer från den här konfigurationen för att slutföra nästa steg.

  1. Bläddra till Global Secure Access>Anslut>Fjärrnätverk.

  2. I den sista kolumnen till höger i tabellen väljer du Visa konfiguration för fjärrnätverket som du skapade. Konfigurationen visas som en JSON-blob.

  3. Leta upp och spara Microsofts offentliga IP-adress endpoint, asnoch bgpAddress från fönstret som öppnas.

    Skärmbild av visningskonfigurationspanelen.

I följande diagram kopplas viktig information om konfigurationsinformationen till deras korrelerande roll i det simulerade fjärrnätverket. En textbeskrivning av diagrammet följer bilden.

Diagram över fjärrnätverkskonfigurationerna och var informationen korrelerar med nätverket.

I mitten av diagrammet visas en resursgrupp som innehåller en virtuell dator som är ansluten till ett virtuellt nätverk. En virtuell nätverksgateway ansluter sedan till den lokala nätverksgatewayen via en plats-till-plats-redundant VPN-anslutning.

En skärmbild av anslutningsinformationen har två avsnitt markerade. Det första markerade avsnittet under localConfigurations innehåller information om den globala gatewayen för säker åtkomst, som är din lokala nätverksgateway.

Lokalnätverksgateway 1

  • Offentlig IP-adress/slutpunkt: 120.x.x.76
  • ASN: 65476
  • BGP IP-adress/bgpAddress: 192.168.1.1

Lokal Nätverksgateway 2

  • Offentlig IP-adress/slutpunkt: 4.x.x.193
  • ASN: 65476
  • BGP IP-adress/bgpAddress: 192.168.1.2

Det andra markerade avsnittet under peerConfiguration innehåller information om den virtuella nätverksgatewayen, som är din lokala routerutrustning.

Virtuell nätverksgateway

  • Offentlig IP-adress/slutpunkt: 20.x.x.1
  • ASN: 65533
  • BGP IP-adress/bgpAddress: 10.1.1.1

En annan markering pekar på det virtuella nätverk som du skapade i din resursgrupp. Adressutrymmet för det virtuella nätverket är 10.2.0.0/16. Den lokala BGP-adressen och Peer BGP-adressen kan inte finnas i samma adressutrymme.

Skapa lokal nätverksgateway

Det här steget har slutförts i Azure Portal. Flera detaljer från föregående steg behövs för att slutföra det här steget.

Om du valde Ingen redundans när du skapade enhetslänkar i administrationscentret för Microsoft Entra måste du bara skapa en lokal nätverksgateway.

Om du har valt Zonredundans måste du skapa två lokala nätverksgatewayer. Du har två uppsättningar med endpoint, asn och bgpAddress i localConfigurations för enhetslänkarna. Den här informationen finns i Visa konfigurationsinformation för det fjärranslutna nätverket i administrationscentret för Microsoft Entra.

  1. Från Azure Portal bläddrar du till Lokala nätverksgatewayer.

  2. Välj Skapa.

  3. Välj den resursgrupp som skapades tidigare.

  4. Välj lämplig region.

  5. Ange en namn för din lokala nätverksgateway.

  6. För Slutpunkt väljer du IP-adress och anger sedan DEN endpoint IP-adress som anges i administrationscentret för Microsoft Entra.

  7. Välj Nästa: Avancerat.

  8. Ställ in Konfigurera BGPJa.

  9. Ange det autonoma systemnumret (ASN) i localConfigurations avsnittet Visa konfigurationsinformation .

  10. Ange IP-adressen för BGP-peer i avsnittet localConfigurations.

    Skärmbild av ASN- och BGP-fälten i processen för lokal nätverksgateway.

  11. Välj Granska + skapa och bekräfta inställningarna.

  12. Välj Skapa.

Om du använde zonredundans upprepar du de här stegen för att skapa en annan lokal nätverksgateway med andra uppsättningen värden.

Gå till Konfigurationer för att granska informationen om din lokala nätverksgateway.

Skärmbild av Azure Portal som visar konfigurationsinställningar för en lokal nätverksgateway.

Skapa vpn-anslutning från plats till plats (S2S)

Det här steget har slutförts i Azure Portal. Du måste skapa två anslutningar här om du har skapat en andra gateway, en för dina primära och sekundära gatewayer. I det här steget behåller du alla inställningar som standardvärde om det inte anges.

  1. Från Azure Portal bläddrar du till Anslutningar.
  2. Välj Skapa.
  3. Välj den resursgrupp som skapades tidigare.
  4. Under Anslutningstyp väljer du Plats-till-plats (IPsec).
  5. Ange ett namn för anslutningen och välj lämplig region.
  6. Välj Nästa: Inställningar.
  7. Välj den virtuella nätverksgatewayen och den lokala nätverksgateway som du skapade tidigare.
  8. Ange samma delade nyckel (PSK) som du angav när du skapade enhetslänken i föregående steg.
  9. Markera kryssrutan för Aktivera BGP.
  10. Välj Granska + Skapa. Bekräfta inställningarna.
  11. Välj Skapa.

Upprepa de här stegen för att skapa en annan anslutning med den andra lokala nätverksgatewayen.

Skärmbild av Azure Portal som visar konfigurationsinställningar för en plats-till-plats-anslutning.

Verifiera anslutningen

För att verifiera anslutningen måste du simulera trafikflödet. En metod är att skapa en virtuell dator (VM) för att initiera trafiken.

Simulera trafik med en virtuell dator

Det här steget skapar en virtuell dator och initierar trafik till Microsoft-tjänster. Låt alla inställningar vara inställda på standardvärdet om det inte anges.

  1. Från Azure Portal bläddrar du till Virtuella datorer.
  2. Välj Skapa>en virtuell Azure-dator.
  3. Välj den resursgrupp som skapades tidigare.
  4. Ange ett virtuellt datornamn.
  5. Välj den bild som du vill använda. I det här exemplet väljer vi Windows 11 Pro, version 22H2 – x64 Gen2
  6. Välj Kör med Azure Spot-rabatt för det här testet.
  7. Ange ett användarnamn och lösenord för den virtuella datorn.
  8. Bekräfta att du har en berättigad Windows 10/11-licens med värdrättigheter för flera klientorganisationer längst ned på sidan.
  9. Flytta till fliken Nätverk .
  10. Välj det virtuella nätverk som skapades tidigare.
  11. Flytta till fliken Hantering
  12. Markera kryssrutan Logga in med Microsoft Entra-ID.
  13. Välj Granska + skapa. Bekräfta inställningarna.
  14. Välj Skapa.

Du kan välja att låsa fjärråtkomsten till nätverkssäkerhetsgruppen till endast ett specifikt nätverk eller EN IP-adress.

Verifiera anslutningsstatus

När du har skapat fjärrnätverken och anslutningarna i föregående steg kan det ta några minuter innan anslutningen upprättas. Från Azure Portal kan du verifiera att VPN-tunneln är ansluten och att BGP-peering lyckas.

  1. I Azure Portal bläddrar du till den virtuella nätverksgateway som skapades tidigare och väljer Anslutningar.
  2. Var och en av anslutningarna bör visa statusen Ansluten när konfigurationen har tillämpats och lyckats.
  3. Bläddra till BGP-peers under avsnittet Övervakning för att bekräfta att BGP-peering är framgångsrik. Leta efter de peer-adresser som tillhandahålls av Microsoft. När konfigurationen har tillämpats och lyckats bör statusen visa Ansluten.

Skärmbild som visar hur du hittar anslutningsstatusen för din virtuella nätverksgateway.

Du kan använda den virtuella dator som du skapade för att verifiera att trafiken flödar till Microsoft-tjänster. Att bläddra till resurser i SharePoint eller Exchange Online bör resultera i trafik på din virtuella nätverksgateway. Den här trafiken kan ses genom att bläddra till Mått på den virtuella nätverksgatewayen eller genom att konfigurera paketinsamling för VPN-gatewayer.

Tips

Om du använder den här artikeln för att testa Microsoft Entra internetåtkomst rensar du alla relaterade Azure-resurser genom att ta bort den nya resursgruppen när du är klar.

Nästa steg