Konfigurace site-to-site VPN virtuální Azure VMware Solution

  • Článek
  • 8 min ke čtení

V tomto článku zřídíte tunel VPN (IPsec IKEv1 a IKEv2) ukončující tunel site-to-site v centru Microsoft Azure Virtual WAN. Centrum obsahuje bránu Azure VMware Solution ExpressRoute a bránu site-to-site VPN. Připojí místní zařízení VPN ke koncovému bodu Azure VMware Solution sítě.

Diagram znázorňující architekturu tunelového propojení VPN site-to-site

Požadavky

Musíte mít veřejnou IP adresu ukončující na místním zařízení VPN.

Vytvoření Azure Virtual WAN

  1. Na portálu na panelu Hledat zdroje zadejte do vyhledávacího pole virtuální síť WAN a vyberte ENTER.

  2. Z výsledků vyberte virtuální sítě WAN . Na stránce virtuální sítě WAN vyberte + vytvořit a otevřete stránku vytvořit síť WAN .

  3. Na stránce vytvořit síť WAN vyplňte pole na kartě základy . Upravte ukázkové hodnoty, které se mají použít pro vaše prostředí.

    Snímek obrazovky se zobrazí v podokně vytvořit síť WAN se zvolenou kartou základy.

    • Předplatné: vyberte předplatné, které chcete použít.
    • Skupina prostředků: Vytvořte novou nebo použijte existující.
    • Umístění skupiny prostředků: z rozevíracího seznamu vyberte umístění prostředku. Síť WAN je globální prostředek, takže se nenachází v určité oblasti. Je však nutné vybrat oblast, aby bylo možné spravovat a vyhledat prostředek sítě WAN, který vytvoříte.
    • Název: zadejte název, který chcete zavolat virtuální síti WAN.
    • Zadejte: Basic nebo Standard. Vyberte Standard. Pokud vyberete základní, může to být tím, že základní virtuální sítě WAN můžou obsahovat jenom základní rozbočovače. Základní centra se dají používat jenom pro připojení Site-to-site.

  4. Po dokončení vyplnění polí klikněte v dolní části stránky na tlačítko zkontrolovat + vytvořit.

  5. Po úspěšném ověření kliknutím na vytvořit vytvořte virtuální síť WAN.

Vytvoření virtuálního centra

Virtuální centrum je virtuální síť, kterou vytvoří a použije Virtual WAN. Je jádrem vaší Virtual WAN v oblasti. Může obsahovat brány pro site-to-site a ExpressRoute.

Tip

Bránu můžete vytvořit také v existujícím centru.

  1. Vyhledejte virtuální síť WAN, kterou jste vytvořili. Na stránce virtuální síť WAN v části připojení vyberte rozbočovače.

  2. Na stránce centra vyberte + nové centrum a otevřete stránku vytvořit virtuální rozbočovač .

    Snímek obrazovky se zobrazí v podokně vytvořit virtuální centrum se zvolenou kartou základy.

  3. Na kartě základy stránky vytvořit virtuální rozbočovač vyplňte následující pole:

    • Oblast: Toto nastavení se dřív odkazovalo na umístění. Je to oblast, ve které chcete vytvořit virtuální rozbočovač.
    • Name (název): název, podle kterého chcete virtuální rozbočovač znát.
    • Privátní adresní prostor centra: minimální adresní prostor je/24 pro vytvoření centra.

Vytvoření brány VPN

  1. Na stránce Vytvořit virtuální rozbočovač klikněte na Možnost Site-to-Site. Otevře se karta Site-to-Site.

    Snímek obrazovky ukazuje podokno Vytvořit virtuální centrum s vybranou možnost Site-to-Site.

  2. Na kartě Site-to-Site vyplňte následující pole:

    • Pokud chcete vytvořit síť VPN site-to-site, vyberte Ano.

    • Číslo AS: Pole Číslo AS není možné upravit.

    • Jednotky škálování brány: V rozevíracím seznamu vyberte hodnotu Gateway scale units (Jednotky škálování brány). Jednotka škálování umožňuje vybrat agregovanou propustnost brány VPN vytvořené ve virtuálním centru pro připojení lokalit.

      Pokud vyberete 1 jednotku škálování = 500 Mb/s, znamená to, že se vytvoří dvě instance pro redundanci, z nichž každá má maximální propustnost 500 Mb/s. Pokud máte například pět větví, z nichž každá má ve větvi 10 Mb/s, budete potřebovat agregaci 50 Mb/s na konci hlavičky. Plánování agregované kapacity služby Azure VPN Gateway by se mělo provést po vyhodnocení kapacity potřebné k podpoře počtu větví v centru.

    • Předvolba směrování: Předvolba směrování Azure umožňuje zvolit způsob směrování provozu mezi Azure a internetem. Můžete se rozhodnout směrovat provoz buď přes síť Microsoft, nebo přes síť poskytovatele internetových služeb (veřejný internet). Tyto možnosti se také označují jako směrování studených jídel a směrování horkých jídel v uvedeném pořadí.

      Veřejnou IP adresu v Virtual WAN přiřadí služba na základě vybrané možnosti směrování. Další informace o předvolbách směrování prostřednictvím sítě Microsoft nebo poskytovatele internetového připojení najdete v článku Předvolba směrování.

  3. Vyberte Zkontrolovat a vytvořit a ověřte ho.

  4. Vyberte Vytvořit a vytvořte centrum a bránu. Toto může trvat až 30 minut. Po 30 minutách aktualizujte a zobrazte centrum na stránce Centra. Vyberte Přejít k prostředku a přejděte k prostředku.

Vytvoření S2S (Site-to-site) VPN

  1. V Azure Portal vyberte virtuální síť WAN, kterou jste vytvořili dříve.

  2. V přehledu virtuálního centra vyberte Připojení > VPN (Site-to-Site) > Vytvořit novou lokalitu VPN.

    Snímek obrazovky se stránkou Přehled pro virtuální centrum s vybranou možností VPN (site-to-site) a Vytvořit novou lokalitu VPN

  3. Na kartě Základy zadejte požadovaná pole.

    Snímek obrazovky se stránkou Vytvořit lokalitu VPN a otevřenou záložkou Základy

    • Oblast – dříve označoval jako umístění. Je to umístění, ve které chcete vytvořit tento prostředek lokality.

    • Název – název, podle kterého chcete odkazovat na místní lokalitu.

    • Dodavatel zařízení – název dodavatele zařízení VPN, například Citrix, Cisco nebo Barracuda. Pomůže týmu Azure lépe porozumět vašemu prostředí, aby v budoucnu mohl přidat další možnosti optimalizace nebo vám pomoct s odstraňováním potíží.

    • Privátní adresní prostor – Adresní prostor IP adres CIDR umístěný ve vaší místní lokalitě. Provoz určený do tohoto adresního prostoru se přesměruje do místní lokality. Blok CIDR se vyžaduje jenom v případě, že pro lokalitu není povolený protokol BGP.

    Poznámka

    Pokud adresní prostor upravíte po vytvoření lokality (například přidání dalšího adresního prostoru), může aktualizace efektivních tras při opětovném vytváření součástí trvat 8 až 10 minut.

  4. Vyberte Odkazy a přidejte informace o fyzických odkazech ve větvi. Pokud máte partnerské Virtual WAN CPE, zkontrolujte u nich, jestli se tyto informace vyměňují s Azure jako součást nastavení nahrávání informací větve z jejich systémů.

    Zadáním názvů propojení a poskytovatelů můžete rozlišovat mezi libovolným počtem bran, které mohou být nakonec vytvořeny jako součást centra. Protokol BGP a číslo autonomního systému (ASN) musí být v rámci vaší organizace jedinečné. Protokol BGP zajišťuje, Azure VMware Solution i místní servery inzerují své trasy přes tunel. Pokud je tato možnost zakázaná, podsítě, které je potřeba inzerovat, se musí udržovat ručně. Pokud se podsítě vynechá, HCX nevytvoře síť služeb.

    Důležité

    Ve výchozím nastavení Azure automaticky přiřadí privátní IP adresu z rozsahu předpon GatewaySubnet jako IP adresu protokolu Azure BGP v bráně Azure VPN. Pokud vaše místní zařízení VPN používají jako IP adresu protokolu BGP adresu APIPA (169.254.0.1 až 169.254.255.254), je potřeba vlastní adresa Azure APIPA BGP. Azure VPN Gateway zvolí vlastní adresu APIPA, pokud odpovídající prostředek brány místní sítě (místní síť) má jako IP adresu partnera BGP adresu APIPA. Pokud brána místní sítě používá běžnou IP adresu (ne APIPA), Azure VPN Gateway se vrátí k privátní IP adrese z rozsahu GatewaySubnet.

    Snímek obrazovky se stránkou Vytvořit web VPN a otevřenou záložkou Odkazy

  5. Vyberte Zkontrolovat a vytvořit.

  6. Přejděte k virtuálnímu rozbočovači, které chcete, a zrušte výběr přidružení centra, aby se vaše síť VPN připojovat k rozbočovači.

    Snímek obrazovky Připojení do tohoto centra

(Volitelné) Vytvoření tunelů VPN site-to-site založených na zásadách

Důležité

Tento krok je volitelný a vztahuje se pouze na sítě VPN založené na zásadách.

Nastavení sítě VPN založené na zásadách vyžaduje, aby Azure VMware Solution místní a místní sítě, včetně rozsahů center. Tyto rozsahy určují doménu šifrování místního koncového bodu tunelu VPN založeného na zásadách. Na Azure VMware Solution straně je potřeba povolit pouze indikátor selektoru provozu na základě zásad.

  1. V Azure Portal přejděte na web Virtual WAN Hub a v části Připojení vyberte VPN (site-to-site).

  2. Vyberte web VPN, pro který chcete nastavit vlastní zásady IPsec.

    Snímek obrazovky s existujícími weby VPN pro nastavení zásad IPsec zákazníka

  3. Vyberte název vaší lokality VPN, vpravo vyberte Další (...) a pak vyberte Upravit připojení VPN.

    Snímek obrazovky zobrazující místní nabídku pro existující web VPN

    • Internet Protocol Security (IPSec) vyberte Vlastní.

    • Pomocí selektoru provozu na základě zásad vyberte Povolit.

    • Zadejte podrobnosti pro IKE fáze 1 a IKE fáze 2 (ipsec).

  4. Změňte nastavení IPsec z výchozí na vlastní a upravte zásady IPsec. Pak vyberte Uložit.

    Snímek obrazovky s existujícími weby VPN

    Selektory provozu nebo podsítě, které jsou součástí domény šifrování založené na zásadách, by měly být:

    • Virtual WAN hub /24

    • Azure VMware Solution privátního cloudu /22

    • Připojená virtuální síť Azure (pokud je k dispozici)

Připojení lokality VPN do centra

  1. Vyberte název vaší lokality VPN a pak vyberte Připojení lokality VPN.

  2. Do pole Před sdílený klíč zadejte klíč dříve definovaný pro místní koncový bod.

    Tip

    Pokud nemáte dříve definovaný klíč, můžete toto pole ponechat prázdné. Klíč se vygeneruje automaticky.

    Snímek obrazovky znázorňuje podokno Připojené lokality pro virtuální centrum připravené pro před sdílený klíč a související nastavení

  3. Pokud nasazujete bránu firewall v centru a jde o další segment směrování, nastavte možnost Rozšířit výchozí trasu na Povolit.

    Když je tato možnost povolená, centrum Virtual WAN se rozšíří do připojení pouze v případě, že centrum už zjistilo výchozí trasu při nasazování brány firewall v centru nebo pokud je povolené vynucené tunelování jiné připojené lokality. Výchozí trasa nepochází z centra Virtual WAN.

  4. Vyberte Connect (Připojit). Po několika minutách se v lokalitě zobrazí stav připojení a připojení.

    Snímek obrazovky znázorňuje připojení site-to-site a stav připojení

    Stav připojení: Stav prostředku Azure pro připojení, které připojuje lokalitu VPN k bráně VPN centra Azure. Po úspěšném provedení této operace řídicí roviny navázání připojení pomocí brány Azure VPN Gateway a místního zařízení VPN.

    Stav připojení: Skutečný stav připojení (cesta k datům) mezi bránou VPN Azure v centru a lokalitě VPN Může zobrazit kterýkoli z následujících stavů:

    • Neznámý: Obvykle se používá v případě, že back-endové systémy pracují na přechodu na jiný stav.
    • Připojení: Azure VPN Gateway se pokouší kontaktovat skutečnou místní lokalitu VPN.
    • Připojeno: Připojení vytvořená mezi službou Azure VPN Gateway a místní lokalitou VPN.
    • Odpojeno: Obvykle se používá, pokud je z nějakého důvodu odpojeno (místně nebo v Azure).

  5. Stáhněte si konfigurační soubor VPN a použijte ho pro místní koncový bod.

    1. Na stránce VPN (Site-to-Site) v horní části vyberte Download VPN Config (Stáhnout konfiguraci sítě VPN). Azure vytvoří účet úložiště ve skupině prostředků microsoft-network-location, [ kde umístění je umístění sítě ] WAN. Až tuto konfiguraci použijete ve svých zařízeních VPN, můžete tento účet úložiště odstranit.

    2. Po vytvoření ho vyberte a stáhněte ho.

    3. Použijte konfiguraci na místní zařízení VPN.

    Další informace o konfiguračním souboru najdete v tématu Informace o konfiguračním souboru zařízení VPN.

  6. Opravte Azure VMware Solution ExpressRoute v Virtual WAN hubu.

    Důležité

    Před opravou platformy musíte nejprve vytvořit privátní cloud.

    1. V Azure Portal přejděte do privátního cloudu řešení Azure VMware. Vyberte Spravovat > připojení > ExpressRoute a pak vyberte + požádat o autorizační klíč.

      Snímek obrazovky ukazující, jak si vyžádat autorizační klíč ExpressRoute

    2. Zadejte název a vyberte vytvořit.

      Vytvoření klíče může trvat přibližně 30 sekund. Po vytvoření se nový klíč zobrazí v seznamu autorizačních klíčů pro privátní cloud.

      Snímek obrazovky s ExpressRoute Global Reach autorizační klíč

    3. Zkopírujte autorizační klíč a ID ExpressRoute. Budete je potřebovat k dokončení partnerského vztahu. Autorizační klíč zmizí po nějaké době, takže ho zkopírujte hned po jeho zobrazení.

  7. Propojení Azure VMware Solution a brány VPN v Virtual WAN Hubu Použijete autorizační klíč a ID ExpressRoute (identifikátor URI partnerského okruhu) z předchozího kroku.

    1. Vyberte bránu ExpressRoute a pak vyberte Uplatnit autorizační klíč.

      Snímek obrazovky se stránkou ExpressRoute pro privátní cloud a vybranou možnost Uplatnit autorizační klíč

    2. Vložte autorizační klíč do pole Autorizační klíč.

    3. Vložte ID ExpressRoute do pole Identifikátor URI partnerského okruhu.

    4. Zaškrtněte políčko Automaticky přidružit tento okruh ExpressRoute k rozbočovači.

    5. Výběrem možnosti Přidat odkaz vytvořte.

  8. Otestujte připojení vytvořením segmentu NSX-T a zřízením virtuálního počítače v síti. O příkaz ping o příkazu ping místně i Azure VMware Solution koncové body.

    Poznámka

    Počkejte přibližně 5 minut, než otestujte připojení z klienta za okruhem ExpressRoute, například virtuální počítač ve virtuální síti, kterou jste vytvořili dříve.