Konfigurace site-to-site VPN přes partnerský vztah Microsoftu ExpressRoute

Tento článek vám pomůže nakonfigurovat zabezpečené šifrované připojení mezi vaší místní sítí a virtuálními sítěmi Azure přes privátní připojení ExpressRoute. Partnerský vztah Microsoftu můžete použít k vytvoření tunelu IPsec/IKE VPN typu site-to-site mezi vybranými místními sítěmi a virtuálními sítěmi Azure. Konfigurace zabezpečeného tunelu přes ExpressRoute umožňuje výměnu dat s důvěrností, ochrana proti přehrání, pravostí a integritou.

Postup a příklady v tomto článku se používají Azure PowerShell AZ Modules. Informace o instalaci nástroje AZ modules lokálně do počítače naleznete v tématu install Azure PowerShell. Další informace o novém modulu AZ Module najdete v tématu Úvod do nového Azure PowerShell AZ Module. Rutiny PowerShellu se často aktualizují. Pokud nepoužíváte nejnovější verzi, hodnoty uvedené v pokynech mohou selhat. Pokud chcete ve svém systému najít nainstalované verze PowerShellu, použijte Get-Module -ListAvailable Az rutinu.

Architektura

Pro zajištění vysoké dostupnosti a redundance můžete nakonfigurovat více tunelů přes dva páry MSEE-PE okruhu ExpressRoute a povolit vyrovnávání zatížení mezi tunely.

Tunely VPN přes partnerský vztah Microsoftu je možné ukončit buď pomocí brány VPN Gateway, nebo pomocí příslušného síťového virtuálního zařízení dostupného prostřednictvím Azure Marketplace. Trasy můžete vyměňovat staticky nebo dynamicky přes šifrovaná tunelová propojení, aniž by se výměna tras vystavil základnímu partnerskému vztahu Microsoftu. V příkladech v tomto článku se protokol BGP (jiný než relace protokolu BGP použitý k vytvoření partnerského vztahu Microsoftu) používá k dynamické výměně předpon přes šifrovaná tunelová propojení.

Pracovní postup

1. Nakonfigurujte partnerský vztah Microsoftu pro váš okruh ExpressRoute.
2. Inzerujte vybrané místní veřejné předpony Azure do místní sítě prostřednictvím partnerského vztahu Microsoftu.
3. Konfigurace brány VPN a vytvoření tunelů IPsec
4. Nakonfigurujte místní zařízení VPN.
5. Vytvořte připojení site-to-site IPsec/IKE.
6. (Volitelné) Nakonfigurujte brány firewall nebo filtrování na místním zařízení VPN.
7. Otestujte a ověřte komunikaci protokolu IPsec přes okruh ExpressRoute.

1. Konfigurace partnerského vztahu Microsoftu

Pokud chcete nakonfigurovat site-to-site VPN připojení přes ExpressRoute, musíte využít peering ExpressRoute s Microsoftem.

• Pokud chcete nakonfigurovat nový okruh ExpressRoute, začněte článkem Požadavky pro ExpressRoute a pak vytvořte a upravte okruh ExpressRoute.

• Pokud už máte okruh ExpressRoute, ale nemáte nakonfigurovaný partnerský vztah Microsoftu, nakonfigurujte partnerský vztah Microsoftu pomocí článku Vytvoření a úprava partnerského vztahu pro okruh ExpressRoute.

Po nakonfigurování okruhu a partnerského vztahu Microsoftu ho můžete snadno zobrazit na stránce Přehled v Azure Portal.

2. Konfigurace filtrů tras

Filtr tras umožňuje identifikovat služby, které chcete využívat prostřednictvím partnerského vztahu Microsoftu s vaším okruhem ExpressRoute. V podstatě se jedná o seznam povolení všech hodnot komunity protokolu BGP.

V tomto příkladu se nasazení nachází pouze v USA – západ 2 Azure. Přidá se pravidlo filtru tras, které povolí jenom inzerování místních předpon Azure USA – západ 2 s hodnotou komunity protokolu BGP 12076:51026. Místní předpony, které chcete povolit, určíte tak, že vyberete Spravovat pravidlo.

V rámci filtru tras musíte také zvolit okruhy ExpressRoute, na které se filtr tras vztahuje. Okruhy ExpressRoute můžete vybrat výběrem možnosti Přidat okruh. Na předchozím obrázku je filtr tras přidružený k příkladu okruhu ExpressRoute.

2.1 Konfigurace filtru tras

Nakonfigurujte filtr tras. Postup najdete v tématu Konfigurace filtrů tras pro partnerský vztah Microsoftu.

2.2 Ověření tras protokolu BGP

Po úspěšném vytvoření partnerského vztahu Microsoftu přes okruh ExpressRoute a přidruženém filtru tras k okruhu můžete ověřit trasy protokolu BGP přijaté od MTEE na zařízeních PE, která jsou v partnerském vztahu se sítěmi MSEE. Příkaz pro ověření se liší v závislosti na operačním systému vašich pe zařízení.

Příklady Cisco

V tomto příkladu se používá příkaz Cisco IOS-XE. V tomto příkladu se k izolaci provozu partnerského vztahu používá instance virtuálního směrování a přesměrování (VRF).

show ip bgp vpnv4 vrf 10 summary

Následující částečný výstup ukazuje, že od souseda (MSEE) bylo přijato 68 předpon * .243.229.34 s ASN 12076 :

...

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
X.243.229.34    4        12076   17671   17650    25228    0    0 1w4d           68

Pokud chcete zobrazit seznam předpon přijatých od souseda, použijte následující příklad:

sh ip bgp vpnv4 vrf 10 neighbors X.243.229.34 received-routes

Pokud chcete potvrdit, že dostáváte správnou sadu předpon, můžete to ověřit křížově. Následující Azure PowerShell zobrazí seznam předpon inzerovaných prostřednictvím partnerského vztahu Microsoftu pro každou službu a pro každou oblast Azure:

Get-AzBgpServiceCommunity

3. Konfigurace brány VPN a tunelů IPsec

V této části se vytvoří tunely IPsec VPN mezi bránou Azure VPN Gateway a místním zařízením VPN. V příkladech se používají zařízení VPN směrovače cloudových služeb Cisco (CSR1000).

Následující diagram znázorňuje tunely VPN IPsec mezi místním zařízením VPN 1 a párem instancí služby Azure VPN Gateway. Dva tunely IPsec VPN, které jsou vytvořeny mezi místním zařízením VPN 2 a párem instancí služby Azure VPN Gateway, nejsou v diagramu znázorněné a podrobnosti o konfiguraci tu nejsou uvedené. Pokud ale máte další tunely VPN, zlepší se tím vysoká dostupnost.

Přes pár tunelů IPsec se navádí relace eBGP pro výměnu tras privátní sítě. Následující diagram znázorňuje relaci protokolu eBGP vytvořenou přes pár tunelového propojení IPsec:

Následující diagram znázorňuje abstrahovaný přehled příkladu sítě:

Příklady Azure Resource Manager šablon

V příkladech se ukončování tunelu VPN Gateway a IPsec konfiguruje pomocí šablony Azure Resource Manager sítě. Pokud s používáním šablon Resource Manager nebo se základními principy šablon Resource Manager, podívejte se na informace o struktuře a syntaxi šablon Azure Resource Manager . Šablona v této části vytvoří zelené pole prostředí Azure (VNet). Pokud ale máte existující virtuální síť, můžete na něj odkazovat v šabloně. Pokud nejste obeznámeni s konfiguracemi site-to-site protokolu IPsec/IKE brány VPN, podívejte se na vytvoření připojení site-to-site.

3.1 Deklarace proměnných

V tomto příkladu deklarace proměnných odpovídají příkladu sítě. Při deklaraci proměnných upravte tento oddíl tak, aby odrážel vaše prostředí.

• Proměnná localAddressPrefix je pole místních IP adres, které ukončuje tunely IPsec.
• GatewaySku určuje propustnost sítě VPN. Další informace o gatewaySku a vpnType najdete v VPN Gateway nastavení konfigurace. Ceny najdete na stránce VPN Gateway .
• Nastavte vpnType na RouteBased.

"variables": {
  "virtualNetworkName": "SecureVNet",       // Name of the Azure VNet
  "azureVNetAddressPrefix": "10.2.0.0/24",  // Address space assigned to the VNet
  "subnetName": "Tenant",                   // subnet name in which tenants exists
  "subnetPrefix": "10.2.0.0/25",            // address space of the tenant subnet
  "gatewaySubnetPrefix": "10.2.0.224/27",   // address space of the gateway subnet
  "localGatewayName": "localGW1",           // name of remote gateway (on-premises)
  "localGatewayIpAddress": "X.243.229.110", // public IP address of the on-premises VPN device
  "localAddressPrefix": [
    "172.16.0.1/32",                        // termination of IPsec tunnel-1 on-premises 
    "172.16.0.2/32"                         // termination of IPsec tunnel-2 on-premises 
  ],
  "gatewayPublicIPName1": "vpnGwVIP1",    // Public address name of the first VPN gateway instance
  "gatewayPublicIPName2": "vpnGwVIP2",    // Public address name of the second VPN gateway instance 
  "gatewayName": "vpnGw",                 // Name of the Azure VPN gateway
  "gatewaySku": "VpnGw1",                 // Azure VPN gateway SKU
  "vpnType": "RouteBased",                // type of VPN gateway
  "sharedKey": "string",                  // shared secret needs to match with on-premises configuration
  "asnVpnGateway": 65000,                 // BGP Autonomous System number assigned to the VPN Gateway 
  "asnRemote": 65010,                     // BGP Autonmous Syste number assigned to the on-premises device
  "bgpPeeringAddress": "172.16.0.3",      // IP address of the remote BGP peer on-premises
  "connectionName": "vpn2local1",
  "vnetID": "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]",
  "gatewaySubnetRef": "[concat(variables('vnetID'),'/subnets/','GatewaySubnet')]",
  "subnetRef": "[concat(variables('vnetID'),'/subnets/',variables('subnetName'))]",
  "api-version": "2017-06-01"
},

3.2 Vytvoření virtuální sítě

Pokud přidružíte existující virtuální síť k tunelům VPN, můžete tento krok přeskočit.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/virtualNetworks",
  "name": "[variables('virtualNetworkName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "addressSpace": {
      "addressPrefixes": [
        "[variables('azureVNetAddressPrefix')]"
      ]
    },
    "subnets": [
      {
        "name": "[variables('subnetName')]",
        "properties": {
          "addressPrefix": "[variables('subnetPrefix')]"
        }
      },
      {
        "name": "GatewaySubnet",
        "properties": {
          "addressPrefix": "[variables('gatewaySubnetPrefix')]"
        }
      }
    ]
  },
  "comments": "Create a Virtual Network with Subnet1 and Gatewaysubnet"
},

3.3 Přiřazení veřejných IP adres instancím brány VPN

Každé instanci brány VPN přiřaďte veřejnou IP adresu.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName1')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the first instance of the VPN gateway"
  },
  {
    "apiVersion": "[variables('api-version')]",
    "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName2')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the second instance of the VPN gateway"
  },

3.4 Určení ukončení tunelu místní sítě VPN (brána místní sítě)

Místní zařízení VPN se označují jako brána místní sítě. Následující fragment kódu JSON také určuje podrobnosti o vzdáleném partnerském protokolu BGP:

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/localNetworkGateways",
  "name": "[variables('localGatewayName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "localNetworkAddressSpace": {
      "addressPrefixes": "[variables('localAddressPrefix')]"
    },
    "gatewayIpAddress": "[variables('localGatewayIpAddress')]",
    "bgpSettings": {
      "asn": "[variables('asnRemote')]",
      "bgpPeeringAddress": "[variables('bgpPeeringAddress')]",
      "peerWeight": 0
    }
  },
  "comments": "Local Network Gateway (referred to your on-premises location) with IP address of remote tunnel peering and IP address of remote BGP peer"
},

3.5 Vytvoření brány VPN

Tato část šablony konfiguruje bránu VPN s požadovaným nastavením pro konfiguraci aktivní-aktivní. Mějte na paměti následující požadavky:

• Vytvořte bránu VPN s typem sítě Vpn RouteBased. Toto nastavení je povinné, pokud chcete povolit směrování protokolu BGP mezi bránou VPN a místní sítí VPN.
• Pokud chcete vytvořit tunely VPN mezi dvěma instancemi brány VPN a daným místním zařízením v režimu aktivní-aktivní, je parametr "activeActive" v šabloně Resource Manager true. Další informace o vysoce dostupných branách VPN najdete v tématu Připojení brány VPN s vysokou možností přístupu.
• Pokud chcete nakonfigurovat relace protokolu eBGP mezi tunely VPN, musíte na obou stranách zadat dvě různá asn. Je vhodnější zadat privátní čísla ASN. Další informace najdete v tématu Přehled bran BGPa Azure VPN.

{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/virtualNetworkGateways",
"name": "[variables('gatewayName')]",
"location": "[resourceGroup().location]",
"dependsOn": [
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName1'))]",
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName2'))]",
  "[concat('Microsoft.Network/virtualNetworks/', variables('virtualNetworkName'))]"
],
"properties": {
  "ipConfigurations": [
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName1'))]"
        }
      },
      "name": "vnetGtwConfig1"
    },
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName2'))]"
        }
      },
          "name": "vnetGtwConfig2"
        }
      ],
      "sku": {
        "name": "[variables('gatewaySku')]",
        "tier": "[variables('gatewaySku')]"
      },
      "gatewayType": "Vpn",
      "vpnType": "[variables('vpnType')]",
      "enableBgp": true,
      "activeActive": true,
      "bgpSettings": {
        "asn": "[variables('asnVpnGateway')]"
      }
    },
    "comments": "VPN Gateway in active-active configuration with BGP support"
  },

3.6 Vytvoření tunelů IPsec

Poslední akce skriptu vytvoří tunely IPsec mezi bránou Azure VPN Gateway a místním zařízením VPN.

{
  "apiVersion": "[variables('api-version')]",
  "name": "[variables('connectionName')]",
  "type": "Microsoft.Network/connections",
  "location": "[resourceGroup().location]",
  "dependsOn": [
    "[concat('Microsoft.Network/virtualNetworkGateways/', variables('gatewayName'))]",
    "[concat('Microsoft.Network/localNetworkGateways/', variables('localGatewayName'))]"
  ],
  "properties": {
    "virtualNetworkGateway1": {
      "id": "[resourceId('Microsoft.Network/virtualNetworkGateways', variables('gatewayName'))]"
    },
    "localNetworkGateway2": {
      "id": "[resourceId('Microsoft.Network/localNetworkGateways', variables('localGatewayName'))]"
    },
    "connectionType": "IPsec",
    "routingWeight": 0,
    "sharedKey": "[variables('sharedKey')]",
    "enableBGP": "true"
  },
  "comments": "Create a Connection type site-to-site (IPsec) between the Azure VPN Gateway and the VPN device on-premises"
  }

4. Konfigurace místního zařízení VPN

Azure VPN Gateway je kompatibilní s mnoha zařízeními VPN od různých dodavatelů. Informace o konfiguraci a zařízení ověřená pro práci s bránou VPN najdete v tématu Informace o zařízeních VPN.

Při konfiguraci zařízení VPN potřebujete následující položky:

• Sdílený klíč. Jedná se o stejný sdílený klíč, který zadáte při vytváření site-to-site VPN připojení. V příkladech se používá základní sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
• Veřejná IP adresa vaší brány VPN. Veřejnou IP adresu můžete zobrazit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku. Pokud chcete zjistit veřejnou IP adresu brány VPN pomocí webu Azure Portal, přejděte na Brány virtuální sítě a klikněte na název brány.

Partnerské sítě eBGP jsou obvykle připojené přímo (často přes připojení WAN). Pokud ale konfigurujete tunely VPN eBGP přes protokol IPsec prostřednictvím partnerského vztahu Microsoftu ExpressRoute, mezi partnerskými vztahy eBGP existuje několik domén směrování. Pomocí příkazu ebgp-multihop navázání vztahu souseda eBGP mezi dvěma ne přímo připojenými partnery. Celé číslo následující po příkazu ebgp-multihop určuje hodnotu TTL v paketech protokolu BGP. Příkaz maximum-paths ipgp 2 umožňuje vyrovnávání zatížení provozu mezi dvěma cestami protokolu BGP.

Příklad Cisco CSR1000

Následující příklad ukazuje konfiguraci cisco CSR1000 ve virtuálním počítači Hyper-V jako místní zařízení VPN:

!
crypto ikev2 proposal az-PROPOSAL
 encryption aes-cbc-256 aes-cbc-128 3des
 integrity sha1
 group 2
!
crypto ikev2 policy az-POLICY
 proposal az-PROPOSAL
!
crypto ikev2 keyring key-peer1
 peer azvpn1
  address 52.175.253.112
  pre-shared-key secret*1234
 !
!
crypto ikev2 keyring key-peer2
 peer azvpn2
  address 52.175.250.191
  pre-shared-key secret*1234
 !
!
!
crypto ikev2 profile az-PROFILE1
 match address local interface GigabitEthernet1
 match identity remote address 52.175.253.112 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer1
!
crypto ikev2 profile az-PROFILE2
 match address local interface GigabitEthernet1
 match identity remote address 52.175.250.191 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer2
!
crypto ikev2 dpd 10 2 on-demand
!
!
crypto ipsec transform-set az-IPSEC-PROPOSAL-SET esp-aes 256 esp-sha-hmac
 mode tunnel
!
crypto ipsec profile az-VTI1
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE1
!
crypto ipsec profile az-VTI2
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE2
!
!
interface Loopback0
 ip address 172.16.0.3 255.255.255.255
!
interface Tunnel0
 ip address 172.16.0.1 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.253.112
 tunnel protection ipsec profile az-VTI1
!
interface Tunnel1
 ip address 172.16.0.2 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.250.191
 tunnel protection ipsec profile az-VTI2
!
interface GigabitEthernet1
 description External interface
 ip address x.243.229.110 255.255.255.252
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet2
 ip address 10.0.0.1 255.255.255.0
 negotiation auto
 no mop enabled
 no mop sysid
!
router bgp 65010
 bgp router-id interface Loopback0
 bgp log-neighbor-changes
 network 10.0.0.0 mask 255.255.255.0
 network 10.1.10.0 mask 255.255.255.128
 neighbor 10.2.0.228 remote-as 65000
 neighbor 10.2.0.228 ebgp-multihop 5
 neighbor 10.2.0.228 update-source Loopback0
 neighbor 10.2.0.228 soft-reconfiguration inbound
 neighbor 10.2.0.228 filter-list 10 out
 neighbor 10.2.0.229 remote-as 65000    
 neighbor 10.2.0.229 ebgp-multihop 5
 neighbor 10.2.0.229 update-source Loopback0
 neighbor 10.2.0.229 soft-reconfiguration inbound
 maximum-paths eibgp 2
!
ip route 0.0.0.0 0.0.0.0 10.1.10.1
ip route 10.2.0.228 255.255.255.255 Tunnel0
ip route 10.2.0.229 255.255.255.255 Tunnel1
!

5. Konfigurace filtrování zařízení VPN a bran firewall (volitelné)

Nakonfigurujte bránu firewall a filtrování podle vašich požadavků.

6. Testování a ověření tunelu IPsec

Stav tunelů IPsec je možné ověřit ve službě Azure VPN Gateway pomocí příkazů PowerShellu:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object  ConnectionStatus,EgressBytesTransferred,IngressBytesTransferred | fl

Příklad výstupu:

ConnectionStatus        : Connected
EgressBytesTransferred  : 17734660
IngressBytesTransferred : 10538211

Pokud chcete nezávisle zkontrolovat stav tunelů na instancích služby Azure VPN Gateway, použijte následující příklad:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object -ExpandProperty TunnelConnectionStatus

Příklad výstupu:

Tunnel                           : vpn2local1_52.175.250.191
ConnectionStatus                 : Connected
IngressBytesTransferred          : 4877438
EgressBytesTransferred           : 8754071
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:30

Tunnel                           : vpn2local1_52.175.253.112
ConnectionStatus                 : Connected
IngressBytesTransferred          : 5660773
EgressBytesTransferred           : 8980589
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:13

Můžete také zkontrolovat stav tunelu na místním zařízení VPN.

Příklad Cisco CSR1000:

show crypto session detail
show crypto ikev2 sa
show crypto ikev2 session detail
show crypto ipsec sa

Příklad výstupu:

csr1#show crypto session detail

Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
R - IKE Auto Reconnect

Interface: Tunnel1
Profile: az-PROFILE2
Uptime: 00:52:46
Session status: UP-ACTIVE
Peer: 52.175.250.191 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.250.191
      Desc: (none)
  Session ID: 3
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.250.191/4500 Active
          Capabilities:DN connid:3 lifetime:23:07:14
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 279 drop 0 life (KB/Sec) 4607976/433
        Outbound: #pkts enc'ed 164 drop 0 life (KB/Sec) 4607992/433

Interface: Tunnel0
Profile: az-PROFILE1
Uptime: 00:52:43
Session status: UP-ACTIVE
Peer: 52.175.253.112 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.253.112
      Desc: (none)
  Session ID: 2
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.253.112/4500 Active
          Capabilities:DN connid:2 lifetime:23:07:17
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 668 drop 0 life (KB/Sec) 4607926/437
        Outbound: #pkts enc'ed 477 drop 0 life (KB/Sec) 4607953/437

Protokol řádků v rozhraní VTI (Virtual Tunnel Interface) se nezmění na "up" až do dokončení IKE fáze 2. Následující příkaz ověří přidružení zabezpečení:

csr1#show crypto ikev2 sa

IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
2         10.1.10.50/4500       52.175.253.112/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3277 sec

Tunnel-id Local                 Remote                fvrf/ivrf            Status
3         10.1.10.50/4500       52.175.250.191/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3280 sec

IPv6 Crypto IKEv2  SA

csr1#show crypto ipsec sa | inc encaps|decaps
    #pkts encaps: 177, #pkts encrypt: 177, #pkts digest: 177
    #pkts decaps: 296, #pkts decrypt: 296, #pkts verify: 296
    #pkts encaps: 554, #pkts encrypt: 554, #pkts digest: 554
    #pkts decaps: 746, #pkts decrypt: 746, #pkts verify: 746

Ověření koncového připojení mezi místní vnitřní sítí a virtuální sítí Azure

Pokud jsou tunely IPsec v režimu aktivní a statické trasy jsou správně nastavené, měli byste být schopni příkazem ping použít IP adresu vzdáleného partnerského protokolu BGP:

csr1#ping 10.2.0.228
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.228, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/5 ms

#ping 10.2.0.229
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.229, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms

Ověření relací protokolu BGP přes protokol IPsec

Ve službě Azure VPN Gateway ověřte stav partnerského protokolu BGP:

Get-AzVirtualNetworkGatewayBGPPeerStatus -VirtualNetworkGatewayName vpnGtw -ResourceGroupName SEA-C1-VPN-ER | ft

Příklad výstupu:

  Asn ConnectedDuration LocalAddress MessagesReceived MessagesSent Neighbor    RoutesReceived State    
  --- ----------------- ------------ ---------------- ------------ --------    -------------- -----    
65010 00:57:19.9003584  10.2.0.228               68           72   172.16.0.10              2 Connected
65000                   10.2.0.228                0            0   10.2.0.228               0 Unknown  
65000 07:13:51.0109601  10.2.0.228              507          500   10.2.0.229               6 Connected

Pokud chcete ověřit seznam předpon sítě přijatých prostřednictvím eBGP z místního concentratoru VPN, můžete filtrovat podle atributu Origin:

Get-AzVirtualNetworkGatewayLearnedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG  | Where-Object Origin -eq "EBgp" |ft

V příkladu výstupu je číslo autonomního systému BGP v místním VPN ČÍSLO ASN 65010.

AsPath LocalAddress Network      NextHop     Origin SourcePeer  Weight
------ ------------ -------      -------     ------ ----------  ------
65010  10.2.0.228   10.1.10.0/25 172.16.0.10 EBgp   172.16.0.10  32768
65010  10.2.0.228   10.0.0.0/24  172.16.0.10 EBgp   172.16.0.10  32768

Zobrazení seznamu inzerovaných tras:

Get-AzVirtualNetworkGatewayAdvertisedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG -Peer 10.2.0.228 | ft

Příklad výstupu:

AsPath LocalAddress Network        NextHop    Origin SourcePeer Weight
------ ------------ -------        -------    ------ ---------- ------
       10.2.0.229   10.2.0.0/24    10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.10/32 10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.5/32  10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.1/32  10.2.0.229 Igp                  0
65010  10.2.0.229   10.1.10.0/25   10.2.0.229 Igp                  0
65010  10.2.0.229   10.0.0.0/24    10.2.0.229 Igp                  0

Příklad pro místní Cisco CSR1000:

csr1#show ip bgp neighbors 10.2.0.228 routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.2.0.0/24      10.2.0.228                             0 65000 i
 r>   172.16.0.1/32    10.2.0.228                             0 65000 i
 r>   172.16.0.2/32    10.2.0.228                             0 65000 i
 r>   172.16.0.3/32   10.2.0.228                             0 65000 i

Total number of prefixes 4

Seznam sítí inzerovaných z místní sítě Cisco CSR1000 do služby Azure VPN Gateway můžete zobrazit pomocí následujícího příkazu:

csr1#show ip bgp neighbors 10.2.0.228 advertised-routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.0.0.0/24      0.0.0.0                  0         32768 i
 *>   10.1.10.0/25     0.0.0.0                  0         32768 i

Total number of prefixes 2

Další kroky

• Konfigurace Network Performance Monitoru pro ExpressRoute

• Přidání připojení site-to-site k virtuální síti s existujícím připojením brány VPN