Konfigurera ett plats-till-plats-VPN i vWAN för Azure VMware Solution

  • Artikel
  • 8 minuter för att läsa

I den här artikeln etablerar du en VPN-tunnel (IPsec IKEv1 och IKEv2) som avslutas i den Microsoft Azure Virtual WAN hubben. Hubben innehåller Azure VMware Solution ExpressRoute-gatewayen och VPN-gatewayen för plats-till-plats. Den ansluter en lokal VPN-enhet till en Azure VMware Solution slutpunkt.

Diagram som visar VPN-tunnelarkitektur för plats-till-plats.

Förutsättningar

Du måste ha en offentlig IP-adress som avslutas på en lokal VPN-enhet.

Skapa en Azure Virtual WAN

  1. I portalen i fältet Sök efter resurser skriver du Virtual WAN i sökrutan och väljer Retur.

  2. Välj Virtuella WAN i resultatet. På sidan Virtuella WAN väljer du + Skapa för att öppna sidan Skapa WAN.

  3. Fyll i fälten på sidan Skapa WAN på fliken Grundläggande inställningar. Ändra exempelvärdena så att de tillämpas på din miljö.

    Skärmbild som visar fönstret Skapa WAN med fliken Grundläggande inställningar markerad.

    • Prenumeration: Välj den prenumeration som du vill använda.
    • Resursgrupp: Skapa ny eller använd befintlig.
    • Resursgruppsplats: Välj en resursplats i listrutan. Ett WAN är en global resurs och är inte kopplad till en viss region. Du måste dock välja en region för att kunna hantera och hitta WAN-resursen som du skapar.
    • Namn: Ange det namn som du vill anropa ditt virtuella WAN-nätverk.
    • Skriv: Basic eller Standard. Välj Standard. Om du väljer Grundläggande bör du förstå att grundläggande virtuella WAN endast kan innehålla grundläggande hubbar. Grundläggande hubbar kan bara användas för plats-till-plats-anslutningar.

  4. När du har fyllt i fälten väljer du Granska + skapa längst ned på sidan.

  5. När verifieringen är över klickar du på Skapa för att skapa det virtuella WAN-nätverket.

Skapa en virtuell hubb

En virtuell hubb är ett virtuellt nätverk som skapas och används av Virtual WAN. Det är kärnan i ditt Virtual WAN i en region. Den kan innehålla gatewayer för plats-till-plats och ExpressRoute.

Tips

Du kan också skapa en gateway i en befintlig hubb.

  1. Leta upp det virtuella WAN-nätverk som du skapade. På sidan virtuellt WAN går du till avsnittet Anslutning och väljer Hubbar.

  2. På sidan Hubbar väljer du +Ny hubb för att öppna sidan Skapa virtuell hubb.

    Skärmbild som visar fönstret Skapa virtuell hubb med fliken Grundläggande inställningar markerad.

  3. På sidan Skapa virtuell hubb fyller du i följande fält på fliken Grundläggande:

    • Region: Den här inställningen kallades tidigare för plats. Det är den region där du vill skapa den virtuella hubben.
    • Namn: Det namn som du vill att den virtuella hubben ska vara känd med.
    • Hubbens privata adressutrymme: Det minsta adressutrymmet är /24 för att skapa en hubb.

Skapa en VPN-gateway

  1. På sidan Skapa virtuell hubb klickar du på Plats till plats för att öppna fliken Plats till plats.

    Skärmbild som visar fönstret Skapa virtuell hubb med Plats till plats valt.

  2. fliken Plats till plats fyller du i följande fält:

    • Välj Ja för att skapa ett plats-till-plats-VPN.

    • AS-nummer: FÄLTET AS-nummer kan inte redigeras.

    • Gatewayskalningsenheter: Välj värdet gateway-skalningsenheter i listrutan. Med skalningsenheten kan du välja det aggregerade dataflödet för den VPN-gateway som skapas i den virtuella hubben som platserna ska anslutas till.

      Om du väljer 1 skalningsenhet = 500 Mbit/s innebär det att två instanser för redundans skapas, där var och en har ett maximalt dataflöde på 500 Mbit/s. Om du till exempel har fem grenar, där var och en gör 10 Mbit/s på -grenen, behöver du en aggregering på 50 Mbit/s i huvudänden. Du bör planera för sammanställd kapacitet för Azure VPN-gatewayen när du har utvärderat kapaciteten som behövs för att stödja antalet grenar till hubben.

    • Routningsinställning: Med Routningsinställningar i Azure kan du välja hur trafiken ska dirigeras mellan Azure och Internet. Du kan välja att dirigera trafik antingen via Microsoft-nätverket eller via Internetleverantörens nätverk (offentligt Internet). Dessa alternativ kallas även för kall routning och heta routningsdirigeringar.

      Den offentliga IP-adressen i Virtual WAN tilldelas av tjänsten, baserat på vilket routningsalternativ som valts. Mer information om routningsinställningar via Microsoft-nätverk eller Internetleverantör finns i artikeln Om routningsinställningar.

  3. Välj Granska + skapa för att verifiera.

  4. Välj Skapa för att skapa hubben och gatewayen. Det här kan ta upp till 30 minuter. Efter 30 minuter uppdaterar du för att visa hubben på sidan Hubbar. Välj Gå till resurs för att navigera till resursen.

Skapa ett plats-till-plats-VPN

  1. I den Azure Portal väljer du det virtuella WAN-nätverk som du skapade tidigare.

  2. I översikten för den virtuella hubben väljer du Anslutnings-VPN > (plats-till-plats) Skapa ny > VPN-plats.

    Skärmbild av sidan Översikt för den virtuella hubben med VPN (plats-till-plats) och Skapa ny VPN-plats valt.

  3. fliken Grundläggande anger du de obligatoriska fälten.

    Skärmbild som visar sidan Skapa VPN-webbplats med fliken Grundläggande inställningar öppen.

    • Region – Tidigare kallat plats. Det är den plats där du vill skapa platsresursen.

    • Namn – Det namn som du vill använda för att referera till din lokala plats.

    • Enhetsleverantör – Namnet på VPN-enhetsleverantören, till exempel Citrix, Cisco eller Barracuda. Det hjälper Azure-teamet att bättre förstå din miljö för att lägga till fler optimeringsmöjligheter i framtiden eller hjälpa dig att felsöka.

    • Privat adressutrymme – IP-adressutrymmet för CIDR som finns på din lokala plats. Trafik till det här adressutrymmet dirigeras till den lokala platsen. CIDR-blocket krävs bara om BGP inte är aktiverat för platsen.

    Anteckning

    Om du redigerar adressutrymmet när du har skapat platsen (till exempel lägga till ytterligare ett adressutrymme) kan det ta 8–10 minuter att uppdatera de effektiva vägarna medan komponenterna återskapas.

  4. Välj Länkar för att lägga till information om de fysiska länkarna på -grenen. Om du har en CPE Virtual WAN-partnerenhet kan du kontrollera med dem om den här informationen utbyts med Azure som en del av uppladdningen av greninformation från deras system.

    Genom att ange länk- och providernamn kan du skilja mellan valigt antal gatewayer som så småningom kan skapas som en del av hubben. BGP och autonomt systemnummer (ASN) måste vara unika i din organisation. BGP säkerställer att både Azure VMware Solution och de lokala servrarna annonserar sina vägar i tunneln. Om det är inaktiverat måste de undernät som ska annonseras underhållas manuellt. Om undernät missas kan HCX inte bilda tjänstnätet.

    Viktigt

    Som standard tilldelar Azure automatiskt en privat IP-adress från prefixintervallet GatewaySubnet som Azure BGP-IP-adress på Azure VPN-gatewayen. Den anpassade Azure APIPA BGP-adressen krävs när dina lokala VPN-enheter använder en APIPA-adress (169.254.0.1 till 169.254.255.254) som BGP-IP-adress. Azure VPN Gateway väljer den anpassade APIPA-adressen om motsvarande lokala nätverksgatewayresurs (lokalt nätverk) har en APIPA-adress som BGP-peer-IP. Om den lokala nätverksgatewayen använder en vanlig IP-adress (inte APIPA) återgår Azure VPN Gateway till den privata IP-adressen från GatewaySubnet-intervallet.

    Skärmbild som visar sidan Skapa VPN-webbplats med fliken Länkar öppen.

  5. Välj Granska + skapa.

  6. Gå till den virtuella hubb som du vill använda och avmarkera Hubbkoppling för att ansluta VPN-platsen till hubben.

    Skärmbild som visar Anslut till den här hubben.

(Valfritt) Skapa principbaserade VPN-tunnlar för plats-till-plats

Viktigt

Det här är ett valfritt steg och gäller endast för principbaserade VPN-nätverk.

Principbaserade VPN-konfigurationer kräver att lokala och Azure VMware Solution måste anges, inklusive hubbintervallen. Dessa intervall anger krypteringsdomänen för den principbaserade vpn-tunnelns lokala slutpunkt. På Azure VMware Solution sida krävs bara att den principbaserade trafikväljarindikatorn är aktiverad.

  1. I Azure Portal du till din Virtual WAN och under Anslutning väljer du VPN (plats till plats).

  2. Välj den VPN-plats som du vill konfigurera en anpassad IPsec-princip för.

    Skärmbild som visar befintliga VPN-platser för att konfigurera kundens IPsec-principer.

  3. Välj vpn-platsens namn, välj Mer (...) längst till höger och välj sedan Redigera VPN-anslutning.

    Skärmbild som visar snabbmenyn för en befintlig VPN-plats.

    • Internet Protocol Security (IPSec) väljer du Anpassad.

    • Använd principbaserad trafikväljare och välj Aktivera

    • Ange information för IKE Fas 1 och IKE Fas 2(ipsec).

  4. Ändra IPsec-inställningen från standard till anpassad och anpassa IPsec-principen. Välj sedan Spara.

    Skärmbild som visar befintliga VPN-platser.

    Dina trafikväljare eller undernät som ingår i den principbaserade krypteringsdomänen ska vara:

    • Virtual WAN hubb /24

    • Azure VMware Solution privat moln /22

    • Anslutet virtuellt Azure-nätverk (om det finns)

Anslut VPN-platsen till hubben

  1. Välj ditt VPN-platsnamn och välj sedan Anslut VPN-platser.

  2. I fältet I förväg delad nyckel anger du den nyckel som tidigare definierats för den lokala slutpunkten.

    Tips

    Om du inte har en tidigare definierad nyckel kan du lämna det här fältet tomt. En nyckel genereras automatiskt åt dig.

    Skärmbild som visar fönstret Anslutna platser för Virtuell hubb redo för en I förväg delad nyckel och associerade inställningar.

  3. Om du distribuerar en brandvägg i hubben och det är nästa hopp ställer du in alternativet Sprid standardvägAktivera.

    När den är aktiverad sprids Virtual WAN-hubben till en anslutning endast om hubben redan har lärt sig standardvägen när en brandvägg distribueras i hubben eller om en annan ansluten plats har tvingad tunneling aktiverad. Standardvägen kommer inte från den Virtual WAN hubben.

  4. Välj Anslut. Efter några minuter visar platsen anslutnings- och anslutningsstatus.

    Skärmbild som visar en plats-till-plats-anslutning och anslutningsstatus.

    Anslutningsstatus: Status för Azure-resursen för anslutningen som ansluter VPN-platsen till Azure Hubs VPN-gateway. När den här kontrollplansåtgärden har lyckats upprättar Azure VPN-gatewayen och den lokala VPN-enheten en anslutning.

    Anslutningsstatus: Faktisk anslutningsstatus (datasökväg) mellan Azures VPN-gateway på hubben och VPN-platsen. Den kan visa något av följande tillstånd:

    • Okänd: Visas vanligtvis om backend-systemen arbetar med att övergå till en annan status.
    • Ansluta: Azure VPN-gatewayen försöker kontakta den faktiska lokala VPN-platsen.
    • Ansluten: Anslutning upprättad mellan Azure VPN-gateway och lokal VPN-plats.
    • Frånkopplad: Visas vanligtvis om den är frånkopplad av någon anledning (lokalt eller i Azure)

  5. Ladda ned VPN-konfigurationsfilen och tillämpa den på den lokala slutpunkten.

    1. Välj Ladda ned VPN-konfiguration längst upp på sidan VPN (plats-till-plats). Azure skapar ett lagringskonto i resursgruppen "microsoft-network-location", [ där platsen är ] WAN-platsen. När du har tillämpat konfigurationen på VPN-enheterna kan du ta bort det här lagringskontot.

    2. När den har skapats väljer du länken för att ladda ned den.

    3. Tillämpa konfigurationen på din lokala VPN-enhet.

    Mer information om konfigurationsfilen finns i Om konfigurationsfilen för VPN-enheten.

  6. Korrigera Azure VMware Solution ExpressRoute i Virtual WAN hubben.

    Viktigt

    Du måste först ha skapat ett privat moln innan du kan korrigera plattformen.

    1. I Azure Portal navigerar du till Azure VMware Solution privata molnet. Välj Hantera > > ExpressRoute-anslutning och välj sedan + Begär en auktoriseringsnyckel.

      Skärmbild som visar hur du begär en ExpressRoute-auktoriseringsnyckel.

    2. Ange ett namn för den och välj Skapa.

      Det kan ta ungefär 30 sekunder att skapa nyckeln. När den nya nyckeln har skapats visas den i listan över auktoriseringsnycklar för det privata molnet.

      Skärmbild som visar ExpressRoute-Global Reach auktoriseringsnyckel.

    3. Kopiera auktoriseringsnyckeln och ExpressRoute-ID:t. Du behöver dem för att slutföra peering. Auktoriseringsnyckeln försvinner efter en stund, så kopiera den så fort den visas.

  7. Länka Azure VMware Solution VPN-gatewayen tillsammans i Virtual WAN hubben. Du använder auktoriseringsnyckeln och ExpressRoute-ID :t (peer-krets-URI) från föregående steg.

    1. Välj din ExpressRoute-gateway och välj sedan Lös in auktoriseringsnyckel.

      Skärmbild av ExpressRoute-sidan för det privata molnet med Lös in auktoriseringsnyckel valt.

    2. Klistra in auktoriseringsnyckeln i fältet Auktoriseringsnyckel.

    3. Klistra in ExpressRoute-ID:t i fältet Peer-krets-URI.

    4. Markera kryssrutan Associera ExpressRoute-kretsen automatiskt med hubben.

    5. Välj Lägg till för att upprätta länken.

  8. Testa anslutningen genom att skapa ett NSX-T-segment och etablera en virtuell dator i nätverket. Pinga både lokala och Azure VMware Solution slutpunkter.

    Anteckning

    Vänta ungefär 5 minuter innan du testar anslutningen från en klient bakom din ExpressRoute-krets, till exempel en virtuell dator i det virtuella nätverk som du skapade tidigare.