Een site-naar-site-VPN configureren in vWAN voor Azure VMware Solution

  • Artikel
  • 9 minuten om te lezen

In dit artikel gaat u een site-naar-site-tunnel voor VPN (IPsec IKEv1 en IKEv2) maken die wordt afgesloten in de Microsoft Azure Virtual WAN hub. De hub bevat de Azure VMware Solution ExpressRoute-gateway en de site-naar-site-VPN-gateway. Het verbindt een on-premises VPN-apparaat met Azure VMware Solution eindpunt.

Diagram met vpn-architectuur voor site-naar-site-tunneling.

Vereisten

U moet een openbaar IP-adres hebben dat wordt beëindigen op een on-premises VPN-apparaat.

Een Azure Virtual WAN

  1. Typ in de portal op de balk Resources zoeken Virtual WAN in het zoekvak en selecteer Enter.

  2. Selecteer Virtuele WAN's in de resultaten. Selecteer op de pagina Virtuele WAN's de optie + Maken om de pagina WAN maken te openen.

  3. Vul op de pagina WAN maken op het tabblad Basisbeginselen de velden in. Wijzig de voorbeeldwaarden die op uw omgeving moeten worden toegepast.

    Schermopname toont het deelvenster 'WAN maken' waarbij het tabblad Basisprincipes geselecteerd is.

    • Abonnement: selecteer het abonnement dat u wilt gebruiken.
    • Resourcegroep: nieuwe maken of bestaande gebruiken.
    • Locatie van resourcegroep: kies een resourcelocatie in de vervolgkeuzekeuze. Een WAN een globale resource en bevindt zich niet in een bepaalde regio. U moet echter een regio selecteren om de WAN-resource die u maakt te kunnen beheren en vinden.
    • Naam: typ de naam die u wilt aanroepen van uw virtuele WAN.
    • Type: Basic of Standard. selecteer Standaard. Als u Basic selecteert, moet u begrijpen dat virtuele BASIC-VPN's alleen Basic-hubs kunnen bevatten. Basic-hubs kunnen alleen worden gebruikt voor site-naar-site-verbindingen.

  4. Nadat u klaar bent met het invullen van de velden, selecteert u onder aan de pagina Beoordelen en maken.

  5. Zodra de validatie is uitgevoerd, klikt u op Maken om het virtuele WAN te maken.

Een virtuele hub maken

Een virtuele hub is een virtueel netwerk dat wordt gemaakt en gebruikt door Virtual WAN. Dit vormt de kern van uw Virtual WAN-netwerk in een regio. Het kan gateways bevatten voor site-naar-site en ExpressRoute.

Tip

U kunt ook een gateway maken in een bestaande hub.

  1. Zoek het virtuele WAN dat u hebt gemaakt. Selecteer op de pagina virtueel WAN onder de sectie Connectiviteit de optie Hubs.

  2. Selecteer op de pagina Hubs de optie +Nieuwe hub om de pagina Virtuele hub maken te openen.

    Schermopname van het deelvenster Virtuele hub maken waarbij het tabblad Basisprincipes geselecteerd is.

  3. Op de pagina Basisinstellingen van de pagina Virtuele hub maken vult u de volgende velden in:

    • Regio: deze instelling werd eerder locatie genoemd. Dit is de regio waarin u uw virtuele hub wilt maken.
    • Naam: de naam waarmee u wilt dat de virtuele hub bekend is.
    • Privé-adresruimte van hub: de minimale adresruimte is /24 om een hub te maken.

Een VPN-gateway maken

  1. Klik op de pagina Virtuele hub maken op Site-naar-site om het tabblad Site-naar-site te openen.

    Schermopname van het deelvenster Virtuele hub maken waarin Site-naar-site is geselecteerd.

  2. Vul op het tabblad Site naar site de volgende velden in:

    • Selecteer Ja om een Site-naar-site VPN-verbinding te maken.

    • AS-nummer: het veld AS-nummer kan niet worden bewerkt.

    • Gatewayschaaleenheden: selecteer de waarde voor Gateway-schaaleenheden in de vervolgkeuzekeuze. Met de schaaleenheid kunt u de geaggregeerde doorvoer van de VPN-gateway kiezen die wordt gemaakt in de virtuele hub waarmee sites worden verbonden.

      Als u 1 schaaleenheid = 500 Mbps kiest, betekent dit dat er twee exemplaren voor redundantie worden gemaakt, elk met een maximale doorvoer van 500 Mbps. Als u bijvoorbeeld vijf vertakkingen hebt, elk met een doorvoer van 10 Mbps, hebt u aan het eind van de vertakkingen een totaal van 50 Mbps nodig. Het plannen van de totale capaciteit van de Azure VPN-gateway moet worden uitgevoerd na het beoordelen van de capaciteit die nodig is om het aantal branches naar de hub te ondersteunen.

    • Routeringsvoorkeur: met azure-routeringsvoorkeur kunt u kiezen hoe uw verkeer tussen Azure en internet routeert. U kunt ervoor kiezen om verkeer te routeer via het Microsoft-netwerk of via het ISP-netwerk (openbaar internet). Deze opties worden ook wel respectievelijk cold routing en hot routing genoemd.

      Het openbare IP-adres in Virtual WAN wordt toegewezen door de service, op basis van de geselecteerde routeringsoptie. Zie het artikel Routeringsvoorkeur voor meer informatie over routeringsvoorkeur via microsoft-netwerk of internetprovider.

  3. Selecteer Beoordelen en maken om de validatie uit te voeren.

  4. Selecteer Maken om de hub en gateway te maken. Dit kan tot 30 minuten duren. Na 30 minuten selecteert u Vernieuwen om de hub op de pagina Hubs te bekijken. Selecteer Naar resource gaan om naar de resource te gaan.

Een site-naar-site VPN-verbinding maken

  1. Selecteer in Azure Portal virtuele WAN die u eerder hebt gemaakt.

  2. Selecteer in het Overzicht van de virtuele hub > Connectiviteits-VPN (site-naar-site) > Nieuwe VPN-site maken.

    Schermopname van de pagina Overzicht voor de virtuele hub, met VPN (site-naar-site) en Nieuwe VPN-site maken geselecteerd.

  3. Voer op het tabblad Basisinformatie de vereiste velden in.

    Schermopname van de pagina VPN-site maken met het tabblad Basisinformatie geopend.

    • Regio - voorheen locatie genoemd. Dit is de locatie waarin u deze siteresource wilt maken.

    • Naam - de naam waarmee u naar uw on-premises site wilt verwijzen.

    • Apparaatleverancier: de naam van de leverancier van het VPN-apparaat, bijvoorbeeld Citrix, Cisco of Barracuda. Het helpt het Azure-team om meer inzicht te krijgen in uw omgeving om in de toekomst meer optimalisatiemogelijkheden toe te voegen of u te helpen bij het oplossen van problemen.

    • Privé-adresruimte: de CIDR IP-adresruimte op uw on-premises site. Verkeer dat bestemd is voor deze adresruimte wordt doorgestuurd naar uw lokale site. Het CIDR-blok is alleen vereist als u BGP niet is ingeschakeld voor de site.

    Notitie

    Als u de adresruimte bewerkt nadat u de site hebt gemaakt (bijvoorbeeld als u een extra adresruimte toevoegt), kan het 8-10 minuten duren om de efficiënte routes bij te werken terwijl de onderdelen opnieuw worden gemaakt.

  4. Selecteer koppelingen om informatie over de fysieke koppelingen op de vertakking toe te voegen. Als u een CPE Virtual WAN apparaat van een partner hebt, kunt u contact met hen op nemen om te zien of deze informatie wordt uitgewisseld met Azure als onderdeel van het uploaden van vertakkingsinformatie vanuit hun systemen.

    Door koppelings- en providernamen op te geven, kunt u onderscheid maken tussen een aantal gateways dat uiteindelijk als onderdeel van de hub kan worden gemaakt. BGP en autonome systeemnummer (ASN) moeten uniek zijn binnen uw organisatie. BGP zorgt ervoor dat zowel Azure VMware Solution als de on-premises servers hun routes via de tunnel adverteren. Als deze is uitgeschakeld, moeten de subnetten die moeten worden geadverteerd, handmatig worden onderhouden. Als subnetten worden gemist, kan HCX de service-mesh niet vormen.

    Belangrijk

    Standaard wijst Azure automatisch een privé-IP-adres uit het voorvoegselbereik GatewaySubnet toe als het Azure BGP-IP-adres op de Azure VPN-gateway. Het aangepaste BGP-adres van Azure APIPA is nodig wanneer uw on-premises VPN-apparaten een APIPA-adres (169.254.0.1 tot 169.254.255.254) als het BGP-IP-adres gebruiken. Azure VPN Gateway kiest het aangepaste APIPA-adres als de bijbehorende lokale netwerkgatewayresource (on-premises netwerk) een APIPA-adres heeft als het BGP-peer-IP-adres. Als de lokale netwerkgateway gebruikmaakt van een normaal IP-adres (niet APIPA), keert Azure VPN Gateway terug naar het privé-IP-adres uit het bereik GatewaySubnet.

    Schermopname van de pagina VPN-site maken met het tabblad Koppelingen geopend.

  5. Selecteer Controleren + maken.

  6. Navigeer naar de virtuele hub die u wilt en deselecteer Hub-verbinding om uw VPN-site te verbinden met de hub.

    Schermopname van Verbinding maken naar deze hub.

(Optioneel) Op beleid gebaseerde VPN-site-naar-site-tunnels maken

Belangrijk

Dit is een optionele stap die alleen van toepassing is op op beleid gebaseerde VPN's.

Voor vpn-instellingen op basis van beleid moeten on-premises en Azure VMware Solution worden opgegeven, met inbegrip van de hubbereiken. Met deze reeksen geeft u het versleutelingsdomein van het on-premises eindpunt van de op beleid gebaseerde VPN-tunnel op. Aan Azure VMware Solution zijde is alleen de op beleid gebaseerde verkeers selector-indicator ingeschakeld.

  1. Ga in Azure Portal naar uw Virtual WAN hubsite en selecteer vpn (site-naar-site) onder Connectiviteit.

  2. Selecteer de VPN-site waarvoor u een aangepast IPsec-beleid wilt instellen.

    Schermopname van de bestaande VPN-sites voor het instellen van IPsec-beleid van klanten.

  3. Selecteer de naam van uw VPN-site, selecteer Meer (...) helemaal rechts en selecteer vervolgens VPN-verbinding bewerken.

    Schermopname van het contextmenu voor een bestaande VPN-site.

    • Internet Protocol Security (IPSec) de optie Custom.

    • Gebruik verkeers selector op basis van beleid, selecteer Inschakelen

    • Geef de details op voor IKE Phase 1 en IKE Phase 2(ipsec).

  4. Wijzig de IPsec-instelling van standaard in aangepast en pas het IPsec-beleid aan. Selecteer vervolgens Opslaan.

    Schermopname van de bestaande VPN-sites.

    De verkeers selectors of subnetten die deel uitmaken van het op beleid gebaseerde versleutelingsdomein moeten zijn:

    • Virtual WAN hub /24

    • Azure VMware Solution privécloud /22

    • Verbonden virtueel Azure-netwerk (indien aanwezig)

Verbinding maken VPN-site naar de hub over te plaatsen

  1. Selecteer de naam van uw VPN-site en selecteer Verbinding maken VPN-sites.

  2. Voer in Vooraf gedeelde sleutel veld de sleutel in die u eerder hebt gedefinieerd voor het on-premises eindpunt.

    Tip

    Als u geen eerder gedefinieerde sleutel hebt, kunt u dit veld leeg laten. Er wordt automatisch een sleutel voor u gegenereerd.

    Schermopname van het deelvenster Verbonden sites voor Virtual HUB dat gereed is voor een Vooraf gedeelde sleutel en bijbehorende instellingen.

  3. Als u een firewall in de hub implementeert en dit de volgende hop is, stelt u de optie Standaardroute doorgeven in op Inschakelen.

    Wanneer deze is ingeschakeld, wordt de Virtual WAN-hub alleen doorgegeven aan een verbinding als de hub de standaardroute al heeft geleerd bij het implementeren van een firewall in de hub of als geforceerd tunnelen is ingeschakeld voor een andere verbonden site. De standaardroute is niet afkomstig van de Virtual WAN-hub.

  4. Selecteer Verbinding maken. Na enkele minuten toont de site de verbindings- en connectiviteitsstatus.

    Schermopname van een site-naar-site-verbinding en connectiviteitsstatus.

    Verbindingsstatus: Status van de Azure-resource voor de verbinding die de VPN-site verbindt met de VPN-gateway van de Azure Hub. Zodra deze besturingsvlakbewerking is geslaagd, maken de Azure VPN-gateway en het on-premises VPN-apparaat verbinding.

    Connectiviteitsstatus: Werkelijke connectiviteitsstatus (gegevenspad) tussen de VPN-gateway van Azure in de hub en de VPN-site. De status kan een van de volgende waarden hebben:

    • Onbekend: meestal te zien als de back-endsystemen werken om over te gaan naar een andere status.
    • Verbinding maken: De Azure VPN-gateway probeert de daadwerkelijke on-premise VPN-site te bereiken.
    • Verbonden: Connectiviteit tot stand gebracht tussen de Azure VPN-gateway en de on-premises VPN-site.
    • Verbinding verbroken: meestal te zien als de verbinding om een of andere reden is verbroken (on-premises of in Azure)

  5. Download het VPN-configuratiebestand en pas het toe op het on-premises eindpunt.

    1. Selecteer bovenaan de pagina VPN (site-naar-site) de optie VPN-configuratie downloaden. Azure maakt een opslagaccount in de resourcegroep 'microsoft-network-location', waarbij [ locatie de locatie van het WAN ] is. Nadat u de configuratie hebt toegepast op uw VPN-apparaten, kunt u dit storage-account verwijderen.

    2. Zodra u de app hebt gemaakt, selecteert u de koppeling om deze te downloaden.

    3. Pas de configuratie toe op uw on-premises VPN-apparaat.

    Zie Informatie over het configuratiebestand van het VPN-apparaat voor meer informatie over het configuratiebestand van het VPN-apparaat.

  6. Patch de Azure VMware Solution ExpressRoute in de Virtual WAN hub.

    Belangrijk

    U moet eerst een privécloud maken voordat u het platform kunt patchen.

    1. Navigeer Azure Portal de Azure VMware Solution privécloud. Selecteer > Connectiviteits > expressRoute beheren en selecteer vervolgens + Een autorisatiesleutel aanvragen.

      Schermopname die laat zien hoe u een ExpressRoute-autorisatiesleutel aanvraagt.

    2. Geef er een naam voor op en selecteer Maken.

      Het maken van de sleutel kan ongeveer 30 seconden duren. Zodra de nieuwe sleutel is gemaakt, wordt deze weergegeven in de lijst met autorisatiesleutels voor de privécloud.

      Schermopname van de ExpressRoute Global Reach autorisatiesleutel.

    3. Kopieer de autorisatiesleutel en de ExpressRoute-id. U hebt deze nodig om de peering te voltooien. De autorisatiesleutel verdwijnt na enige tijd, dus kopieer deze zodra deze wordt weergegeven.

  7. Koppel Azure VMware Solution en de VPN-gateway aan elkaar in Virtual WAN hub. U gebruikt de autorisatiesleutel en ExpressRoute-id (peer-circuit-URI) uit de vorige stap.

    1. Selecteer uw ExpressRoute-gateway en selecteer vervolgens Autorisatiesleutel inwisselen.

      Schermopname van de ExpressRoute-pagina voor de privécloud, met Autorisatiesleutel inwisselen geselecteerd.

    2. Plak de autorisatiesleutel in het veld Autorisatiesleutel.

    3. Plak de ExpressRoute-id in het veld Peer circuit URI.

    4. Schakel het selectievakje Dit ExpressRoute-circuit automatisch koppelen aan de hub in.

    5. Selecteer Toevoegen om de koppeling tot stand te laten komen.

  8. Test uw verbinding door een NSX-T-segment te maken en een VM in het netwerk in terichten. Ping zowel de on-premises als Azure VMware Solution eindpunten.

    Notitie

    Wacht ongeveer 5 minuten voordat u de connectiviteit van een client achter uw ExpressRoute-circuit, bijvoorbeeld een virtuele machine in het VNet dat u eerder hebt gemaakt, test.