Šifrování ExpressRoute: IPsec přes ExpressRoute pro Virtual WAN

  • Článek

V tomto článku se dozvíte, jak pomocí Azure Virtual WAN navázat připojení VPN IPsec/IKE z místní sítě do Azure přes privátní partnerský vztah okruhu Azure ExpressRoute. Tato technika může poskytovat šifrovaný přenos mezi místními sítěmi a virtuálními sítěmi Azure přes ExpressRoute, aniž by bylo nutné přecházení přes veřejný internet nebo použití veřejných IP adres.

Topologie a směrování

Následující diagram znázorňuje příklad připojení VPN přes privátní partnerský vztah ExpressRoute:

Diagram sítě VPN přes ExpressRoute

Diagram znázorňuje síť v rámci místní sítě připojenou k bráně VPN centra Azure přes privátní partnerský vztah ExpressRoute. Vytvoření připojení je jednoduché:

  1. Navázání připojení ExpressRoute pomocí okruhu ExpressRoute a privátního partnerského vztahu
  2. Nastavte připojení VPN, jak je popsáno v tomto článku.

Důležitým aspektem této konfigurace je směrování mezi místními sítěmi a Azure přes cesty ExpressRoute i VPN.

Provoz z místních sítí do Azure

Pro provoz z místních sítí do Azure se předpony Azure (včetně virtuálního centra a všech paprskových virtuálních sítí připojených k centru) inzerují prostřednictvím protokolu BGP privátního partnerského vztahu ExpressRoute i protokolu BGP SÍTĚ VPN. Výsledkem jsou dvě síťové trasy (cesty) směrem k Azure z místních sítí:

  • Jedna cesta chráněná protokolem IPsec
  • Jeden přímo přes ExpressRoute bez ochrany IPsec

Pokud chcete u komunikace použít šifrování, musíte se ujistit, že pro síť připojenou k síti VPN v diagramu jsou trasy Azure přes místní bránu VPN upřednostňované před přímou cestou ExpressRoute.

Provoz z Azure do místních sítí

Stejný požadavek se vztahuje na provoz z Azure do místních sítí. Pokud chcete zajistit, aby byla cesta IPsec upřednostňovaná před přímou cestou ExpressRoute (bez protokolu IPsec), máte dvě možnosti:

  • Inzerujte konkrétnější předpony v relaci protokolu VPN BGP pro síť připojenou k síti VPN. Můžete inzerovat větší rozsah, který zahrnuje síť připojenou k síti VPN přes privátní partnerský vztah ExpressRoute, a pak konkrétnější rozsahy v relaci VPN BGP. Například inzerujte 10.0.0.0/16 přes ExpressRoute a 10.0.1.0/24 přes VPN.

  • Inzerujte nesouvislé předpony pro VPN a ExpressRoute. Pokud jsou rozsahy sítí připojených k síti VPN oddělené od jiných sítí připojených k ExpressRoute, můžete inzerovat předpony v relacích VPN a ExpressRoute BGP. Inzerujte například 10.0.0.0/24 přes ExpressRoute a 10.0.1.0/24 přes SÍŤ VPN.

V obou těchto příkladech bude Azure odesílat provoz na adresu 10.0.1.0/24 přes připojení VPN, nikoli přímo přes ExpressRoute bez ochrany VPN.

Upozornění

Pokud inzerujete stejné předpony pro připojení ExpressRoute i připojení VPN, Azure použije cestu ExpressRoute přímo bez ochrany VPN.

Než začnete

Před zahájením konfigurace ověřte, že splňujete následující kritéria:

  • Pokud už máte virtuální síť, ke které se chcete připojit, ověřte, že se s ní nepřekrývají žádné podsítě vaší místní sítě. Vaše virtuální síť nevyžaduje podsíť brány a nemůže mít žádné brány virtuální sítě. Pokud virtuální síť nemáte, můžete ji vytvořit pomocí postupu v tomto článku.
  • Zařiďte rozsah IP adres pro oblast vašeho rozbočovače. Centrum je virtuální síť a rozsah adres, který zadáte pro oblast centra, se nemůže překrývat s existující virtuální sítí, ke které se připojujete. Také se nemůže překrývat s rozsahy adres, ke kterým se připojujete místně. Pokud nejste obeznámeni s rozsahy IP adres umístěnými v konfiguraci místní sítě, obraťte se na někoho, kdo vám může tyto podrobnosti poskytnout.
  • Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

1. Vytvoření virtuální sítě WAN a centra s bránami

Než budete pokračovat, musíte použít následující prostředky Azure a odpovídající místní konfigurace:

Postup vytvoření virtuální sítě WAN Azure a centra s přidružením ExpressRoute najdete v tématu Vytvoření přidružení ExpressRoute pomocí Azure Virtual WAN. Postup vytvoření brány VPN ve virtuální síti WAN najdete v tématu Vytvoření připojení typu site-to-site pomocí Azure Virtual WAN.

2. Vytvoření lokality pro místní síť

Prostředek lokality je stejný jako lokality VPN bez ExpressRoute pro virtuální síť WAN. IP adresa místního zařízení VPN teď může být privátní IP adresa nebo veřejná IP adresa v místní síti, která je dostupná prostřednictvím privátního partnerského vztahu ExpressRoute vytvořeného v kroku 1.

Poznámka

IP adresa místního zařízení VPN musí být součástí předpon adres inzerovaných do centra virtual WAN prostřednictvím privátního partnerského vztahu Azure ExpressRoute.

  1. Přejděte na weby VPN YourVirtualWAN > a vytvořte lokalitu pro místní síť. Základní kroky najdete v tématu Vytvoření webu. Mějte na paměti následující hodnoty nastavení:

    • Border Gateway Protocol: Pokud vaše místní síť používá protokol BGP, vyberte Možnost Povolit.
    • Privátní adresní prostor: Zadejte adresní prostor IP adres umístěný ve vaší místní lokalitě. Provoz určený pro tento adresní prostor je směrován do místní sítě přes bránu VPN Gateway.

  2. Vyberte Odkazy a přidejte informace o fyzických odkazech. Mějte na paměti následující informace o nastavení:

    • Název poskytovatele: Název poskytovatele internetových služeb pro tento web. Pro místní síť ExpressRoute je to název poskytovatele služby ExpressRoute.

    • Rychlost: Rychlost připojení internetové služby nebo okruhu ExpressRoute.

    • IP adresa: Veřejná IP adresa zařízení VPN, které se nachází ve vaší místní lokalitě. Nebo v případě místního ExpressRoute je to privátní IP adresa zařízení VPN prostřednictvím ExpressRoute.

    • Pokud je protokol BGP povolený, platí pro všechna připojení vytvořená pro tuto lokalitu v Azure. Konfigurace protokolu BGP ve virtuální síti WAN je ekvivalentem konfigurace protokolu BGP ve službě Azure VPN Gateway.

    • Vaše místní adresa partnerského vztahu protokolu BGP nesmí být stejná jako IP adresa vaší sítě VPN pro zařízení nebo adresní prostor virtuální sítě lokality VPN. Jako místní adresu partnera BGP v zařízení VPN použijte jinou IP adresu. Může se jednat o adresu přiřazenou rozhraní zpětné smyčky v zařízení. Nemůže to však být apipa (169.254.x. x) adresu. Tuto adresu zadejte v odpovídající lokalitě VPN, která představuje umístění. Požadavky na protokol BGP najdete v tématu Informace o protokolu BGP s Azure VPN Gateway.

  3. Vyberte Další: Zkontrolovat a vytvořit > , zkontrolujte hodnoty nastavení a vytvořte lokalitu VPN a pak Vytvořte lokalitu.

  4. Dále připojte web k centru pomocí těchto základních kroků jako vodítka. Aktualizace brány může trvat až 30 minut.

3. Aktualizujte nastavení připojení VPN tak, aby používalo ExpressRoute.

Po vytvoření lokality VPN a připojení k centru pomocí následujících kroků nakonfigurujte připojení tak, aby používalo privátní partnerský vztah ExpressRoute:

  1. Přejděte do virtuálního centra. Můžete to udělat buď tak, že přejdete na Virtual WAN a výběrem centra otevřete stránku centra, nebo můžete přejít do připojeného virtuálního centra z lokality VPN.

  2. V části Připojení vyberte VPN (Site-to-Site).

  3. Vyberte tři tečky (...) nebo klikněte pravým tlačítkem na lokalitu VPN přes ExpressRoute a vyberte Upravit připojení VPN k tomuto centru.

  4. Na stránce Základy ponechte výchozí hodnoty.

  5. Na stránce Propojení připojení 1 nakonfigurujte následující nastavení:

    • V části Použít privátní IP adresu Azure vyberte Ano. Nastavení nakonfiguruje bránu VPN centra tak, aby pro toto připojení používala privátní IP adresy v rozsahu adres rozbočovače brány místo veřejných IP adres. Tím se zajistí, že provoz z místní sítě prochází cestami privátního partnerského vztahu ExpressRoute, místo aby pro toto připojení VPN používal veřejný internet.

  6. Kliknutím na Vytvořit aktualizujte nastavení. Po vytvoření nastavení bude brána VPN rozbočovače používat privátní IP adresy v bráně VPN k navázání připojení IPsec/IKE k místnímu zařízení VPN přes ExpressRoute.

4. Získání privátních IP adres pro bránu VPN centra

Stáhněte si konfiguraci zařízení VPN a získejte privátní IP adresy brány VPN rozbočovače. Tyto adresy potřebujete ke konfiguraci místního zařízení VPN.

  1. Na stránce vašeho centra vyberte v části Připojenímožnost VPN (Site-to-Site).

  2. V horní části stránky Přehled vyberte Stáhnout konfiguraci sítě VPN.

    Azure vytvoří účet úložiště ve skupině prostředků microsoft-network-[location], kde umístění je umístění sítě WAN. Po použití konfigurace u zařízení VPN můžete tento účet úložiště odstranit.

  3. Po vytvoření souboru vyberte odkaz a stáhněte si ho.

  4. Použijte konfiguraci ve svém zařízení VPN.

Konfigurační soubor zařízení VPN

Konfigurační soubor zařízení obsahuje nastavení, která se mají použít při konfiguraci místního zařízení VPN. Při prohlížení souboru si všimněte následujících informací:

  • vpnSiteConfiguration: Tato část označuje podrobnosti o zařízení nastavené jako lokalitu, která se připojuje k virtuální síti WAN. Obsahuje název a veřejnou IP adresu zařízení větve.

  • vpnSiteConnections: Tato část obsahuje informace o následujících nastaveních:

    • Adresní prostor virtuální sítě virtuálního centra.
      Příklad: "AddressSpace":"10.51.230.0/24"
    • Adresní prostor virtuálních sítí, které jsou připojené k centru.
      Příklad: "ConnectedSubnets":["10.51.231.0/24"]
    • IP adresy brány VPN virtuálního centra. Vzhledem k tomu, že každé připojení brány VPN se skládá ze dvou tunelů v konfiguraci aktivní-aktivní, uvidíte v tomto souboru obě IP adresy. V tomto příkladu vidíte Instance0 a Instance1 pro každou lokalitu a jsou to privátní IP adresy místo veřejných IP adres.
      Příklad: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Podrobnosti konfigurace pro připojení brány VPN, jako je protokol BGP a předsdílený klíč. Předsdílený klíč se pro vás automaticky vygeneruje. Připojení pro vlastní předsdílený klíč můžete kdykoli upravit na stránce Přehled .

Příklad konfiguračního souboru zařízení

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

Konfigurace zařízení VPN

Pokud potřebujete pokyny ke konfiguraci zařízení, můžete použít pokyny na stránce se skripty konfigurace zařízení VPN, pokud vezmete v úvahu následující upozornění:

  • Pokyny na stránce zařízení VPN nejsou napsané pro virtuální síť WAN. K ruční konfiguraci zařízení VPN ale můžete použít hodnoty virtuální sítě WAN z konfiguračního souboru.
  • Konfigurační skripty zařízení ke stažení, které jsou pro bránu VPN Gateway, nefungují pro virtuální síť WAN, protože konfigurace se liší.
  • Nová virtuální síť WAN může podporovat IKEv1 i IKEv2.
  • Virtuální síť WAN může používat pouze zařízení VPN založená na směrování a pokyny pro zařízení.

5. Zobrazení virtuální sítě WAN

  1. Přejděte do virtuální sítě WAN.
  2. Na stránce Přehled představuje každý bod na mapě centrum.
  3. V části Centra a připojení můžete zobrazit stav připojení k centru, lokalitě, oblasti a připojení VPN. Můžete také zobrazit bajty v a odsud.

6. Monitorování připojení

Vytvořte připojení pro monitorování komunikace mezi virtuálním počítačem Azure a vzdálenou lokalitou. Informace o tom, jak nastavit monitorování připojení, najdete v článku Monitorování síťové komunikace. Zdrojové pole je IP adresa virtuálního počítače v Azure a cílová IP adresa je IP adresa lokality.

7. Vyčištění prostředků

Pokud už tyto prostředky nepotřebujete, můžete pomocí rutiny Remove-AzResourceGroup odebrat skupinu prostředků a všechny prostředky, které obsahuje. Spusťte následující příkaz PowerShellu a nahraďte myResourceGroup názvem vaší skupiny prostředků:

Remove-AzResourceGroup -Name myResourceGroup -Force

Další kroky

Tento článek vám pomůže vytvořit připojení VPN přes privátní partnerský vztah ExpressRoute pomocí Virtual WAN. Další informace o Virtual WAN a souvisejících funkcích najdete v přehledu Virtual WAN.