Mengonfigurasi penerowongan paksa menggunakan Situs Default untuk koneksi situs-ke-situs

Langkah-langkah dalam artikel ini membantu Anda mengonfigurasi penerowongan paksa untuk koneksi IPsec situs-ke-situs (S2S) dengan menentukan Situs Default. Untuk informasi tentang metode konfigurasi untuk penerowongan paksa, termasuk mengonfigurasi penerowongan paksa melalui BGP, lihat Tentang penerowongan paksa untuk VPN Gateway.

Secara default, lalu lintas yang terikat internet dari VM Anda langsung masuk ke Internet. Jika Anda ingin memaksa semua lalu lintas yang terikat Internet melalui gateway VPN ke situs lokal untuk inspeksi dan audit, Anda dapat melakukannya dengan mengonfigurasi penerowongan paksa. Setelah mengonfigurasi penerowongan paksa, jika diinginkan, Anda dapat merutekan lalu lintas yang terikat Internet langsung ke Internet untuk subnet tertentu menggunakan rute khusus yang ditentukan pengguna (UDR).

Langkah-langkah berikut membantu Anda mengonfigurasi skenario penerowongan paksa dengan menentukan Situs Default. Secara opsional, menggunakan UDR kustom, Anda dapat merutekan lalu lintas dengan menentukan bahwa lalu lintas yang terikat Internet dari subnet Frontend langsung ke Internet, bukan ke situs lokal.

• VNet yang Anda buat memiliki tiga subnet: Frontend, Mid-tier, dan Backend dengan empat koneksi lintas lokasi: DefaultSiteHQ, dan tiga cabang.
• Anda menentukan Situs Default untuk gateway VPN Anda menggunakan PowerShell, yang memaksa semua lalu lintas Internet kembali ke lokasi lokal. Situs Default tidak dapat dikonfigurasi menggunakan portal Azure.
• Subnet Frontend diberi UDR untuk mengirim lalu lintas Internet langsung ke Internet, melewati gateway VPN. Lalu lintas lain dirutekan secara normal.
• Subnet Tingkat Menengah dan Backend terus membuat paksa lalu lintas Internet terowongan kembali ke situs lokal melalui gateway VPN karena Situs Default ditentukan.

Membuat VNet dan subnet

Pertama, buat lingkungan pengujian. Anda dapat menggunakan Azure Cloud Shell, atau Anda dapat menjalankan PowerShell secara lokal. Untuk informasi selengkapnya, lihat Cara menginstal dan mengonfigurasi Azure PowerShell.

Catatan

Anda mungkin melihat peringatan yang mengatakan "Jenis objek output cmdlet ini akan dimodifikasi dalam rilis mendatang". Ini adalah perilaku yang diharapkan dan Anda dapat mengabaikan peringatan ini dengan aman.

1. Buat grup sumber daya menggunakan New-AzResourceGroup.

   New-AzResourceGroup -Name "TestRG1" -Location "EastUS"
   

2. Buat jaringan virtual menggunakan New-AzVirtualNetwork.

   $vnet = New-AzVirtualNetwork `
   -ResourceGroupName "TestRG1" `
   -Location "EastUS" `
   -Name "VNet1" `
   -AddressPrefix 10.1.0.0/16
   

3. Buat subnet menggunakan New-AzVirtualNetworkSubnetConfig. Buat subnet Frontend, Mid-tier, dan Backend dan subnet gateway (yang harus diberi nama GatewaySubnet).

   $subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig `
     -Name Frontend `
     -AddressPrefix 10.1.0.0/24 `
     -VirtualNetwork $vnet
   
   $subnetConfigMid-tier = Add-AzVirtualNetworkSubnetConfig `
     -Name Mid-tier `
     -AddressPrefix 10.1.1.0/24 `
     -VirtualNetwork $vnet
   
   $subnetConfigBackend = Add-AzVirtualNetworkSubnetConfig `
     -Name Backend `
     -AddressPrefix 10.1.2.0/24 `
     -VirtualNetwork $vnet
   
   $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig `
     -Name GatewaySubnet `
     -AddressPrefix 10.1.200.0/27 `
     -VirtualNetwork $vnet
   

4. Tulis konfigurasi subnet ke jaringan virtual dengan Set-AzVirtualNetwork, yang membuat subnet dalam jaringan virtual:

   $vnet | Set-AzVirtualNetwork
   

Membuat gateway jaringan lokal

Di bagian ini, buat gateway jaringan lokal untuk situs menggunakan New-AzLocalNetworkGateway. Ada sedikit jeda antara setiap perintah saat setiap gateway jaringan lokal dibuat. Dalam contoh ini, -GatewayIpAddress nilainya adalah tempat penampung. Untuk membuat koneksi, Anda perlu mengganti nilai-nilai ini nanti dengan alamat IP publik dari masing-masing perangkat VPN lokal.

$lng1 = New-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.111" -AddressPrefix "192.168.1.0/24"
$lng2 = New-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.112" -AddressPrefix "192.168.2.0/24"
$lng3 = New-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.113" -AddressPrefix "192.168.3.0/24"
$lng4 = New-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.114" -AddressPrefix "192.168.4.0/24"

Membuat VPN Gateway

Di bagian ini, Anda meminta alamat IP publik dan membuat gateway VPN yang terkait dengan objek alamat IP publik. Alamat IP publik digunakan saat Anda menyambungkan perangkat VPN lokal atau eksternal ke gateway VPN untuk koneksi lintas lokasi.

1. Minta alamat IP publik untuk gateway VPN Anda menggunakan New-AzPublicIpAddress.

   $gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard
   

2. Buat konfigurasi alamat IP gateway menggunakan New-AzVirtualNetworkGatewayIpConfig. Konfigurasi ini dirujuk saat Anda membuat gateway VPN.

   $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"
   $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.Id
   

3. Buat gateway jaringan virtual dengan jenis gateway "Vpn" menggunakan New-AzVirtualNetworkGateway. Membuat gateway bisa memakan waktu 45 menit atau lebih, bergantung pada SKU gateway yang dipilih yang Anda pilih.

   Dalam contoh ini, kita menggunakan VpnGw2, Generasi 2 SKU. Jika Anda melihat kesalahan ValidasiSet mengenai nilai GatewaySKU, verifikasi bahwa Anda telah memasang versi terbaru cmdlet PowerShell. Versi terbaru berisi nilai baru yang divalidasi untuk SKU Gateway terbaru.

   New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" -Location "EastUS" -IpConfigurations $gwipconfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"
   

Mengonfigurasi penerowongan paksa - Situs Default

Konfigurasikan penerowongan paksa dengan menetapkan Situs Default ke gateway jaringan virtual. Jika Anda tidak menentukan Situs Default, lalu lintas Internet tidak dipaksa melalui gateway VPN dan akan, sebaliknya, melintasi langsung ke Internet untuk semua subnet (secara default).

Untuk menetapkan Situs Default untuk gateway, Anda menggunakan parameter -GatewayDefaultSite . Pastikan untuk menetapkan ini dengan benar.

1. Pertama, deklarasikan variabel yang menentukan informasi gateway jaringan virtual dan gateway jaringan lokal untuk Situs Default, dalam hal ini, DefaultSiteHQ.

   $LocalGateway = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1"
   $VirtualGateway = Get-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1"
   

2. Selanjutnya, atur Situs Default gateway jaringan virtual menggunakan Set-AzVirtualNetworkGatewayDefaultSite.

   Set-AzVirtualNetworkGatewayDefaultSite -GatewayDefaultSite $LocalGateway -VirtualNetworkGateway $VirtualGateway
   

Pada titik ini, semua lalu lintas yang terikat Internet sekarang dikonfigurasi untuk dipaksa terowongan ke DefaultSiteHQ. Perangkat VPN lokal harus dikonfigurasi menggunakan 0.0.0.0/0 sebagai pemilih lalu lintas.

• Jika Anda hanya ingin mengonfigurasi penerowongan paksa, dan tidak merutekan lalu lintas Internet langsung ke Internet untuk subnet tertentu, Anda dapat melompat ke bagian Buat Koneksi artikel ini untuk membuat koneksi Anda.
• Jika Anda ingin subnet tertentu mengirim lalu lintas yang terikat Internet langsung ke Internet, lanjutkan dengan bagian berikutnya untuk mengonfigurasi UDR kustom dan menetapkan rute.

Merutekan lalu lintas yang terikat Internet untuk subnet tertentu

Sebagai opsi, jika Anda ingin lalu lintas terikat Internet dikirim langsung ke Internet untuk subnet tertentu (bukan ke jaringan lokal Anda), gunakan langkah-langkah berikut. Langkah-langkah ini berlaku untuk penerowongan paksa yang telah dikonfigurasi baik dengan menentukan Situs Default, atau yang telah dikonfigurasi melalui BGP.

Membuat tabel dan rute rute

Untuk menentukan bahwa lalu lintas yang terikat Internet harus langsung masuk ke Internet, buat tabel rute dan rute yang diperlukan. Anda nantinya akan menetapkan tabel rute ke subnet Frontend.

1. Buat tabel rute menggunakan New-AzRouteTable.

   $routeTable1 = New-AzRouteTable `
   -Name 'RouteTable1' `
   -ResourceGroupName "TestRG1" `
   -location "EastUS"
   

2. Buat rute menggunakan cmdlet berikut: GetAzRouteTable, Add-AzRouteConfig, dan Set-AzRouteConfig. Buat rute untuk jenis hop berikutnya "Internet" di RouteTable1. Rute ini ditetapkan nanti ke subnet Frontend.

   Get-AzRouteTable `
      -ResourceGroupName "TestRG1" `
      -Name "RouteTable1" `
      | Add-AzRouteConfig `
      -Name "ToInternet" `
      -AddressPrefix 0.0.0.0/0 `
      -NextHopType "Internet" `
      | Set-AzRouteTable
   

Menetapkan rute

Di bagian ini, Anda menetapkan tabel rute dan rute ke subnet Frontend menggunakan perintah PowerShell berikut: GetAzRouteTable, Set-AzRouteConfig, dan Set-AzVirtualNetwork.

1. Tetapkan subnet Frontend ke RouteTable1 dengan rute "ToInternet" yang menentukan 0.0.0.0/0 dengan Hop Internet berikutnya.

   $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"
   $routeTable1 = Get-AzRouteTable `
      -ResourceGroupName "TestRG1" `
      -Name "RouteTable1" 
   Set-AzVirtualNetworkSubnetConfig `
      -VirtualNetwork $vnet `
      -Name 'Frontend' `
      -AddressPrefix 10.1.0.0/24 `
      -RouteTable $routeTable1 | `
   Set-AzVirtualNetwork
   

Membuat koneksi VPN S2S

Gunakan New-AzVirtualNetworkGateway Koneksi ion untuk membuat koneksi S2S.

1. Deklarasikan variabel Anda.

   $gateway = Get-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1"
   $lng1 = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" 
   $lng2 = Get-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "TestRG1" 
   $lng3 = Get-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "TestRG1" 
   $lng4 = Get-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "TestRG1"
   

2. Buat koneksi.

   New-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng1 -ConnectionType IPsec -SharedKey "preSharedKey"
   New-AzVirtualNetworkGatewayConnection -Name "Connection2" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng2 -ConnectionType IPsec -SharedKey "preSharedKey"
   New-AzVirtualNetworkGatewayConnection -Name "Connection3" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng3 -ConnectionType IPsec -SharedKey "preSharedKey"
   New-AzVirtualNetworkGatewayConnection -Name "Connection4" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng4 -ConnectionType IPsec -SharedKey "preSharedKey"
   

3. Untuk melihat koneksi, gunakan contoh berikut. Ubah nilai yang diperlukan untuk menentukan koneksi yang ingin Anda lihat.

   Get-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "TestRG1"
   

Langkah berikutnya

Untuk informasi selengkapnya tentang VPN Gateway, lihat TANYA JAWAB UMUM VPN Gateway.