Implementace šifrování přes ExpressRoute

  • 7 min

Nasaďte Azure Virtual WAN, abyste vytvořili připojení VPN IPsec/IKE z vaší místní sítě k Azure přes privátní partnerský vztah okruhu Azure ExpressRoute. Tato technika může poskytovat šifrovaný přenos mezi místními sítěmi a virtuálními sítěmi Azure přes ExpressRoute, aniž byste museli přecházení přes veřejný internet nebo používání veřejných IP adres.

Topologie a směrování

Diagram znázorňující příklad topologie a směrování ExpressRoute v Azure

Diagram znázorňuje síť v rámci místní sítě připojené k bráně VPN centra Azure přes privátní partnerský vztah ExpressRoute. Vytvoření připojení je jednoduché:

  1. Vytvořte připojení ExpressRoute s okruhem ExpressRoute a privátním partnerským vztahem.

  2. Vytvořte připojení VPN, jak je popsáno v příkladu.

Důležitým aspektem této konfigurace je směrování mezi místními sítěmi a Azure přes cesty ExpressRoute i VPN.

Provoz z místních sítí do Azure

V případě provozu z místních sítí do Azure se předpony Azure (včetně virtuálního centra a všech paprskových virtuálních sítí připojených k centru) inzerují prostřednictvím protokolu BGP privátního partnerského vztahu ExpressRoute i protokolu BGP sítě VPN. Výsledkem jsou dvě síťové trasy (cesty) směrem k Azure z místních sítí:

  • Jedna přes cestu chráněnou protokolem IPsec
  • Jeden přímo přes ExpressRoute bez ochrany IPsec

Pokud chcete použít šifrování pro komunikaci, musíte se ujistit, že pro síť připojenou k síti VPN v diagramu se trasy Azure přes místní bránu VPN preferují před přímou cestou ExpressRoute.

Provoz z Azure do místních sítí

Stejný požadavek se vztahuje na provoz z Azure do místních sítí. Abyste měli jistotu, že je cesta IPsec upřednostňovaná před přímou cestou ExpressRoute (bez protokolu IPsec), máte dvě možnosti:

Inzerujte konkrétnější předpony v relaci protokolu BGP sítě VPN pro síť připojenou k síti VPN. Můžete inzerovat větší rozsah, který zahrnuje síť připojenou k síti VPN přes privátní partnerský vztah ExpressRoute, a pak konkrétnější rozsahy v relaci protokolu VPN BGP. Například inzerujte 10.0.0.0/16 přes ExpressRoute a 10.0.1.0/24 přes VPN.

Inzerujte oddělené předpony pro VPN a ExpressRoute. Pokud jsou rozsahy sítí připojených k síti VPN oddělené od jiných připojených sítí ExpressRoute, můžete inzerovat předpony v relacích PROTOKOLU BGP sítě VPN a ExpressRoute. Například inzerujte 10.0.0.0/24 přes ExpressRoute a 10.0.1.0/24 přes VPN.

V obou těchto příkladech Bude Azure posílat provoz do 10.0.1.0/24 přes připojení VPN místo přímo přes ExpressRoute bez ochrany VPN.

Než začnete

Před zahájením konfigurace ověřte, že splňujete následující kritéria:

  • Pokud už máte virtuální síť, ke které se chcete připojit, ověřte, že se s ní nepřekrývají žádné podsítě vaší místní sítě. Vaše virtuální síť nevyžaduje podsíť brány a nemůže mít žádné brány virtuální sítě. Pokud nemáte virtuální síť, můžete ji vytvořit pomocí kroků v tomto článku.
  • Zařiďte rozsah IP adres pro oblast vašeho rozbočovače. Centrum je virtuální síť a rozsah adres zadaný pro oblast rozbočovače se nemůže překrývat s existující virtuální sítí, ke které se připojujete. Také se nemůže překrývat s rozsahy adres, které se připojujete k místnímu prostředí. Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, spojte se s někým, kdo vám může tyto podrobnosti poskytnout.
  • Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

1. Vytvoření virtuální sítě WAN a centra s bránami

Než budete pokračovat, musí být splněné následující prostředky Azure a odpovídající místní konfigurace:

  • An Azure virtual WAN.
  • Centrum virtual WAN s ExpressRoute a bránou virtuální privátní sítě.

2. Vytvoření lokality pro místní síť

Prostředek lokality je stejný jako lokality VPN jiné než ExpressRoute pro virtuální síť WAN. IP adresa místního zařízení VPN teď může být privátní IP adresa nebo veřejná IP adresa v místní síti dostupná prostřednictvím dříve vytvořené konfigurace privátního partnerského vztahu ExpressRoute.

  1. Přejděte do služby Virtual WAN, lokality VPN a vytvořte lokalitu pro vaši místní síť. Mějte na paměti následující hodnoty nastavení:
    • Border Gateway Protocol: Pokud vaše místní síť používá protokol BGP, vyberte Povolit.
    • Privátní adresní prostor: Zadejte adresní prostor IP adres, který se nachází v místní lokalitě. Provoz určený pro tento adresní prostor se směruje do místní sítě přes bránu VPN.
  2. Vyberte Odkazy a přidejte informace o fyzických propojeních. Mějte na paměti následující informace o nastavení:
    • Název zprostředkovatele: Název poskytovatele internetových služeb pro tento web. V případě místní sítě ExpressRoute se jedná o název poskytovatele služeb ExpressRoute.
    • Rychlost: Rychlost připojení internetové služby nebo okruhu ExpressRoute.
    • IP adresa: Veřejná IP adresa zařízení VPN, které se nachází ve vaší místní lokalitě. Nebo pro místní ExpressRoute se jedná o privátní IP adresu zařízení VPN prostřednictvím ExpressRoute.
    • Pokud je povolený protokol BGP, platí pro všechna připojení vytvořená pro tento web v Azure. Konfigurace protokolu BGP ve virtuální síti WAN je ekvivalentní konfiguraci protokolu BGP v bráně Azure VPN Gateway.
    • Vaše místní adresa partnerského vztahu protokolu BGP nesmí být stejná jako IP adresa vaší sítě VPN pro zařízení nebo adresní prostor virtuální sítě lokality VPN. Jako místní adresu partnera BGP v zařízení VPN použijte jinou IP adresu. Může se jednat o adresu přiřazenou rozhraní zpětné smyčky v zařízení. Nemůže to ale být rozhraní APIPA (169.254.x.x) adresa. Zadejte tuto adresu v odpovídající lokalitě VPN, která představuje umístění.
  3. Vyberte Další: Zkontrolujte a vytvořte hodnoty nastavení a vytvořte lokalitu VPN a pak vytvořte lokalitu.
  4. Dále připojte lokalitu k centru. Aktualizace brány může trvat až 30 minut.

3. Aktualizujte nastavení připojení VPN tak, aby používalo ExpressRoute.

Po vytvoření lokality VPN a připojení k centru pomocí následujícího postupu nakonfigurujte připojení tak, aby používalo privátní partnerský vztah ExpressRoute:

  1. Přejděte do virtuálního centra. Můžete to udělat tak, že přejdete do služby Virtual WAN a vyberete centrum, abyste otevřeli stránku centra, nebo můžete přejít do připojeného virtuálního centra z lokality VPN.

  2. V části Připojení ivity vyberte VPN (Site-to-Site).

  3. Vyberte tři tečky (...) nebo klikněte pravým tlačítkem myši na lokalitu VPN přes ExpressRoute a vyberte Upravit připojení VPN k tomuto centru.

  4. Na stránce Základy ponechte výchozí hodnoty.

  5. Na stránce Propojení připojení 1 nakonfigurujte následující nastavení:

    • Pokud chcete použít privátní IP adresu Azure, vyberte Ano. Toto nastavení nakonfiguruje bránu VPN centra tak, aby místo veřejných IP adres používala privátní IP adresy v rozsahu adres centra v bráně pro toto připojení. Tím se zajistí, že provoz z místní sítě prochází cestami privátního partnerského vztahu ExpressRoute místo použití veřejného internetu pro toto připojení VPN.

  6. Kliknutím na Vytvořit aktualizujte nastavení. Po vytvoření nastavení použije brána VPN centra privátní IP adresy v bráně VPN k navázání připojení IPsec/IKE k místnímu zařízení VPN přes ExpressRoute.

4. Získání privátních IP adres pro bránu VPN centra

Stáhněte konfiguraci zařízení VPN, abyste získali privátní IP adresy brány VPN centra. Tyto adresy potřebujete ke konfiguraci místního zařízení VPN.

  1. Na stránce vašeho centra vyberte v části Připojení ivity vpn (Site-to-Site).
  2. V horní části stránky Přehled vyberte Stáhnout konfiguraci sítě VPN. Azure vytvoří účet úložiště ve skupině prostředků microsoft-network-[location], kde umístění je umístění sítě WAN. Po použití konfigurace pro zařízení VPN můžete tento účet úložiště odstranit.
  3. Po vytvoření souboru vyberte odkaz, který chcete stáhnout.
  4. Použijte konfiguraci ve svém zařízení VPN.

Konfigurační soubor zařízení VPN

Konfigurační soubor zařízení obsahuje nastavení, která se mají použít při konfiguraci místního zařízení VPN. Při prohlížení souboru si všimněte následujících informací:

  • vpnSiteConfiguration: Tato část označuje nastavení podrobností o zařízení jako lokalitu, která se připojuje k virtuální síti WAN. Zahrnuje název a veřejnou IP adresu zařízení větve.

  • vpnSite Připojení ions: Tato část obsahuje informace o následujících nastaveních:

    • Adresní prostor virtuální sítě virtuálního centra
      Příklad: "AddressSpace":"10.51.230.0/24"
    • Adresní prostor virtuálních sítí připojených k centru
      Příklad: "ConnectedSubnets":["10.51.231.0/24"]
    • IP adresy brány VPN virtuálního centra. Vzhledem k tomu, že každé připojení brány VPN se skládá ze dvou tunelů v konfiguraci aktivní-aktivní, uvidíte obě IP adresy uvedené v tomto souboru. V tomto příkladu se zobrazí instance0 a Instance1 pro každou lokalitu a místo veřejných IP adres se jedná o privátní IP adresy.
      Příklad: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Podrobnosti konfigurace pro připojení brány VPN, jako je BGP a předsdílený klíč. Předsdílený klíč se automaticky vygeneruje za vás. Připojení můžete kdykoli upravit na stránce Přehled pro vlastní předsdílený klíč.

Konfigurace zařízení VPN

Pokud potřebujete pokyny ke konfiguraci zařízení, můžete použít pokyny na stránce se skripty konfigurace zařízení VPN, pokud vezmete v úvahu následující upozornění:

  • Pokyny na stránce zařízení VPN nejsou napsané pro virtuální síť WAN. K ruční konfiguraci zařízení VPN ale můžete použít hodnoty virtuální sítě WAN z konfiguračního souboru.
  • Skripty konfigurace zařízení ke stažení, které jsou pro bránu VPN Gateway, nefungují pro virtuální síť WAN, protože konfigurace se liší.
  • Nová virtuální síť WAN může podporovat IKEv1 i IKEv2.
  • Virtuální síť WAN může používat pouze zařízení VPN založená na směrování a pokyny pro zařízení.

5. Zobrazení virtuální sítě WAN

  1. Přejděte na virtuální síť WAN.

  2. Na stránce Přehled představuje každý bod na mapě centrum.

  3. V části Rozbočovače a připojení můžete zobrazit stav rozbočovače, lokality, oblasti a připojení VPN. Můžete také zobrazit bajty v a ven.

6. Monitorování připojení

Vytvořte připojení pro monitorování komunikace mezi virtuálním počítačem Azure a vzdálenou lokalitou.