Konfigurera ett plats-till-plats-VPN via ExpressRoute Microsoft-peering
Den här artikeln hjälper dig att konfigurera säkra krypterade anslutningar mellan ditt lokala nätverk och dina virtuella Azure-nätverk (VNet) via en privat ExpressRoute-anslutning. Du kan använda Microsoft-peering för att upprätta en PLATS-till-plats-IPsec/IKE VPN-tunnel mellan dina valda lokala nätverk och virtuella Azure-nätverk. Genom att konfigurera en säker tunnel via ExpressRoute kan du utbyta data med konfidentialitet, anti-återuppspelning, äkthet och integritet.
Anteckning
När du ställer in plats-till-plats-VPN via Microsoft-peering debiteras du för VPN-gatewayen och den utgående VPN-anslutningen. Mer information finns i VPN Gateway priser.
Stegen och exemplen i den här artikeln använder Azure PowerShell AZ-moduler. Information om hur du installerar AZ-modulerna lokalt på datorn finns i installera Azure PowerShell. Mer information om den nya AZ-modulen finns i Introduktion till den nya Azure PowerShell AZ-modulen. PowerShell-cmdletar uppdateras ofta. Om du inte kör den senaste versionen kan de värden som anges i instruktionerna Miss lyckas. Använd cmdleten för att hitta installerade versioner av PowerShell på systemet Get-Module -ListAvailable Az .
Arkitektur
För hög tillgänglighet och redundans kan du konfigurera flera tunnlar över de två MSEE-PE-paren för en ExpressRoute-krets och aktivera belastningsutjämning mellan tunnlarna.
VPN-tunnlar via Microsoft-peering kan antingen avslutas med vpn-gateway eller med en lämplig virtuell nätverksinstallation (NVA) som är tillgänglig via Azure Marketplace. Du kan utbyta vägar statiskt eller dynamiskt över de krypterade tunnlarna utan att exponera vägutbytet för den underliggande Microsoft-peering. I exemplen i den här artikeln används BGP (skiljer sig från BGP-sessionen som används för att skapa Microsoft-peering) för att dynamiskt utbyta prefix över de krypterade tunnlarna.
Viktigt
På den lokala sidan avslutas vanligtvis Microsoft-peering på DMZ och privat peering avslutas i kärnnätverkszonen. De två zonerna skulle åtskiljs med hjälp av brandväggar. Om du konfigurerar Microsoft-peering exklusivt för att aktivera säker tunneling via ExpressRoute, bör du komma ihåg att filtrera igenom endast de offentliga IP-adresser av intresse som annonseras via Microsoft-peering.
Arbetsflöde
- Konfigurera Microsoft-peering för din ExpressRoute-krets.
- Annonsera valda regionala offentliga Prefix för Azure till ditt lokala nätverk via Microsoft-peering.
- Konfigurera en VPN-gateway och upprätta IPsec-tunnlar
- Konfigurera den lokala VPN-enheten.
- Skapa plats-till-plats-IPsec/IKE-anslutningen.
- (Valfritt) Konfigurera brandväggar/filtrering på den lokala VPN-enheten.
- Testa och verifiera IPsec-kommunikationen via ExpressRoute-kretsen.
1. Konfigurera Microsoft-peering
Om du vill konfigurera en PLATS-till-plats-VPN-anslutning via ExpressRoute måste du använda ExpressRoute Microsoft-peering.
Om du vill konfigurera en ny ExpressRoute-krets börjar du med artikeln ExpressRoute-krav och sedan Skapa och ändra en ExpressRoute-krets.
Om du redan har en ExpressRoute-krets, men inte har Microsoft-peering konfigurerat, konfigurerar du Microsoft-peering med hjälp av artikeln Skapa och ändra peering för en ExpressRoute-krets.
När du har konfigurerat kretsen och Microsoft-peering kan du enkelt visa den på sidan Översikt i Azure Portal.
2. Konfigurera flödesfilter
Med ett flödesfilter kan du identifiera tjänster som du vill använda via Microsoft-peering för din ExpressRoute-krets. Det är i stort sett en lista över tillåtna community-värden för BGP.
I det här exemplet är distributionen endast i regionen Azure, västra USA 2. En vägfilterregel läggs till för att endast tillåta annonsering av regionala prefix för Azure USA, västra 2, som har communityvärdet BGP 12076:51026. Du anger de regionala prefix som du vill tillåta genom att välja Hantera regel.
I flödesfiltret måste du också välja de ExpressRoute-kretsar som vägfiltret gäller för. Du kan välja ExpressRoute-kretsarna genom att välja Lägg till krets. I föregående bild är vägfiltret associerat med ExpressRoute-exempelkretsen.
2.1 Konfigurera vägfiltret
Konfigurera ett flödesfilter. Anvisningar finns i Konfigurera flödesfilter för Microsoft-peering.
2.2 Verifiera BGP-vägar
När du har skapat Microsoft-peering över din ExpressRoute-krets och associerat ett vägfilter med kretsen kan du kontrollera BGP-vägarna som tas emot från MRE:er på PE-enheter som peer-kopplas med MRE:erna. Verifieringskommandot varierar beroende på operativsystemet på dina PE-enheter.
Cisco-exempel
I det här exemplet används ett Cisco IOS-XE-kommando. I det här exemplet används en instans av virtuell routning och vidarebefordran (VRF) för att isolera peering-trafiken.
show ip bgp vpnv4 vrf 10 summary
Följande partiella utdata visar att 68 prefix togs emot från grannen * .243.229.34 med ASN 12076 (MSEE):
...
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
X.243.229.34 4 12076 17671 17650 25228 0 0 1w4d 68
Om du vill se listan över prefix som tagits emot från grannen använder du följande exempel:
sh ip bgp vpnv4 vrf 10 neighbors X.243.229.34 received-routes
För att bekräfta att du får rätt uppsättning prefix kan du kors verifiera. Följande kommandoutdata Azure PowerShell visar de prefix som annonseras via Microsoft-peering för var och en av tjänsterna och för var och en av Azure-regionen:
Get-AzBgpServiceCommunity
3. Konfigurera VPN-gatewayen och IPSec-tunnlarna
I det här avsnittet skapas IPsec VPN-tunnlar mellan Azure VPN-gatewayen och den lokala VPN-enheten. I exemplen används VPN-enheter med Cisco Cloud Service Router (CSR1000).
I följande diagram visas de IPsec VPN-tunnlar som upprättats mellan den lokala VPN-enheten 1 och Azure VPN-gatewayinstansparet. De två IPsec VPN-tunnlarna som upprättats mellan den lokala VPN-enheten 2 och Azure VPN-gatewayinstansparet visas inte i diagrammet och konfigurationsinformationen visas inte. Men att ha ytterligare VPN-tunnlar förbättrar hög tillgänglighet.
Under IPsec-tunnelparet upprättas en eBGP-session för att utbyta privata nätverksvägar. Följande diagram visar eBGP-sessionen som upprättats över IPsec-tunnelparet:
Följande diagram visar den abstraherade översikten över exempelnätverket:
Om Azure Resource Manager mallexempel
I exemplen konfigureras VPN-gatewayen och IPsec-tunnelavsluten med hjälp av en Azure Resource Manager mall. Om du inte har använt Resource Manager mallar, eller om du inte har använt Resource Manager-mallarna, kan du gå till Förstå strukturen och syntaxenför Azure Resource Manager mallar . Mallen i det här avsnittet skapar en ny Azure-miljö (VNet). Men om du har ett befintligt VNet kan du referera till det i mallen. Om du inte är bekant med VPN-gatewayens IPsec/IKE-konfigurationer för plats-till-plats, se Skapa en plats-till-plats-anslutning.
Anteckning
Du behöver inte använda Azure Resource Manager för att skapa den här konfigurationen. Du kan skapa den här konfigurationen med Azure Portal eller PowerShell.
3.1 Deklarera variablerna
I det här exemplet motsvarar variabeldeklarationerna exempelnätverket. När du deklarerar variabler ändrar du det här avsnittet så att det återspeglar din miljö.
- Variabeln localAddressPrefix är en matris med lokala IP-adresser för att avsluta IPsec-tunnlarna.
- GatewaySku avgör VPN-dataflödet. Mer information om gatewaySku och vpnType finns i VPN Gateway konfigurationsinställningar. Prisinformation finns i VPN Gateway priser.
- Ange vpnType till RouteBased.
"variables": {
"virtualNetworkName": "SecureVNet", // Name of the Azure VNet
"azureVNetAddressPrefix": "10.2.0.0/24", // Address space assigned to the VNet
"subnetName": "Tenant", // subnet name in which tenants exists
"subnetPrefix": "10.2.0.0/25", // address space of the tenant subnet
"gatewaySubnetPrefix": "10.2.0.224/27", // address space of the gateway subnet
"localGatewayName": "localGW1", // name of remote gateway (on-premises)
"localGatewayIpAddress": "X.243.229.110", // public IP address of the on-premises VPN device
"localAddressPrefix": [
"172.16.0.1/32", // termination of IPsec tunnel-1 on-premises
"172.16.0.2/32" // termination of IPsec tunnel-2 on-premises
],
"gatewayPublicIPName1": "vpnGwVIP1", // Public address name of the first VPN gateway instance
"gatewayPublicIPName2": "vpnGwVIP2", // Public address name of the second VPN gateway instance
"gatewayName": "vpnGw", // Name of the Azure VPN gateway
"gatewaySku": "VpnGw1", // Azure VPN gateway SKU
"vpnType": "RouteBased", // type of VPN gateway
"sharedKey": "string", // shared secret needs to match with on-premises configuration
"asnVpnGateway": 65000, // BGP Autonomous System number assigned to the VPN Gateway
"asnRemote": 65010, // BGP Autonmous Syste number assigned to the on-premises device
"bgpPeeringAddress": "172.16.0.3", // IP address of the remote BGP peer on-premises
"connectionName": "vpn2local1",
"vnetID": "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]",
"gatewaySubnetRef": "[concat(variables('vnetID'),'/subnets/','GatewaySubnet')]",
"subnetRef": "[concat(variables('vnetID'),'/subnets/',variables('subnetName'))]",
"api-version": "2017-06-01"
},
3.2 Skapa virtuellt nätverk (VNet)
Om du associerar ett befintligt VNet med VPN-tunnlarna kan du hoppa över det här steget.
{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/virtualNetworks",
"name": "[variables('virtualNetworkName')]",
"location": "[resourceGroup().location]",
"properties": {
"addressSpace": {
"addressPrefixes": [
"[variables('azureVNetAddressPrefix')]"
]
},
"subnets": [
{
"name": "[variables('subnetName')]",
"properties": {
"addressPrefix": "[variables('subnetPrefix')]"
}
},
{
"name": "GatewaySubnet",
"properties": {
"addressPrefix": "[variables('gatewaySubnetPrefix')]"
}
}
]
},
"comments": "Create a Virtual Network with Subnet1 and Gatewaysubnet"
},
3.3 Tilldela offentliga IP-adresser till VPN-gatewayinstanser
Tilldela en offentlig IP-adress för varje instans av en VPN-gateway.
{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/publicIPAddresses",
"name": "[variables('gatewayPublicIPName1')]",
"location": "[resourceGroup().location]",
"properties": {
"publicIPAllocationMethod": "Dynamic"
},
"comments": "Public IP for the first instance of the VPN gateway"
},
{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/publicIPAddresses",
"name": "[variables('gatewayPublicIPName2')]",
"location": "[resourceGroup().location]",
"properties": {
"publicIPAllocationMethod": "Dynamic"
},
"comments": "Public IP for the second instance of the VPN gateway"
},
3.4 Ange den lokala VPN-tunnelavslutning (lokal nätverksgateway)
De lokala VPN-enheterna kallas för den lokala nätverksgatewayen. Följande json-kodfragment anger också information om BGP-fjärr-peer:
{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/localNetworkGateways",
"name": "[variables('localGatewayName')]",
"location": "[resourceGroup().location]",
"properties": {
"localNetworkAddressSpace": {
"addressPrefixes": "[variables('localAddressPrefix')]"
},
"gatewayIpAddress": "[variables('localGatewayIpAddress')]",
"bgpSettings": {
"asn": "[variables('asnRemote')]",
"bgpPeeringAddress": "[variables('bgpPeeringAddress')]",
"peerWeight": 0
}
},
"comments": "Local Network Gateway (referred to your on-premises location) with IP address of remote tunnel peering and IP address of remote BGP peer"
},
3.5 Skapa VPN-gatewayen
Det här avsnittet av mallen konfigurerar VPN-gatewayen med de inställningar som krävs för en aktiv-aktiv-konfiguration. Tänk på följande krav:
- Skapa VPN-gatewayen med vpntypen RouteBased. Den här inställningen är obligatorisk om du vill aktivera BGP-routning mellan VPN-gatewayen och det lokala VPN-nätverket.
- För att upprätta VPN-tunnlar mellan de två instanserna av VPN-gatewayen och en viss lokal enhet i aktivt-aktivt läge anges parametern "activeActive" till true i Resource Manager mallen. Mer information om VPN-gatewayer med hög tillgänglig finns i Vpn Gateway-anslutningar med hög tillgänglig.
- Om du vill konfigurera eBGP-sessioner mellan VPN-tunnlarna måste du ange två olika ASN:er på vardera sida. Det är bättre att ange privata ASN-nummer. Mer information finns i Översikt över BGP- och Azure VPN-gatewayer.
{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/virtualNetworkGateways",
"name": "[variables('gatewayName')]",
"location": "[resourceGroup().location]",
"dependsOn": [
"[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName1'))]",
"[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName2'))]",
"[concat('Microsoft.Network/virtualNetworks/', variables('virtualNetworkName'))]"
],
"properties": {
"ipConfigurations": [
{
"properties": {
"privateIPAllocationMethod": "Dynamic",
"subnet": {
"id": "[variables('gatewaySubnetRef')]"
},
"publicIPAddress": {
"id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName1'))]"
}
},
"name": "vnetGtwConfig1"
},
{
"properties": {
"privateIPAllocationMethod": "Dynamic",
"subnet": {
"id": "[variables('gatewaySubnetRef')]"
},
"publicIPAddress": {
"id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName2'))]"
}
},
"name": "vnetGtwConfig2"
}
],
"sku": {
"name": "[variables('gatewaySku')]",
"tier": "[variables('gatewaySku')]"
},
"gatewayType": "Vpn",
"vpnType": "[variables('vpnType')]",
"enableBgp": true,
"activeActive": true,
"bgpSettings": {
"asn": "[variables('asnVpnGateway')]"
}
},
"comments": "VPN Gateway in active-active configuration with BGP support"
},
3.6 Upprätta IPsec-tunnlarna
Den sista åtgärden i skriptet skapar IPsec-tunnlar mellan Azure VPN-gatewayen och den lokala VPN-enheten.
{
"apiVersion": "[variables('api-version')]",
"name": "[variables('connectionName')]",
"type": "Microsoft.Network/connections",
"location": "[resourceGroup().location]",
"dependsOn": [
"[concat('Microsoft.Network/virtualNetworkGateways/', variables('gatewayName'))]",
"[concat('Microsoft.Network/localNetworkGateways/', variables('localGatewayName'))]"
],
"properties": {
"virtualNetworkGateway1": {
"id": "[resourceId('Microsoft.Network/virtualNetworkGateways', variables('gatewayName'))]"
},
"localNetworkGateway2": {
"id": "[resourceId('Microsoft.Network/localNetworkGateways', variables('localGatewayName'))]"
},
"connectionType": "IPsec",
"routingWeight": 0,
"sharedKey": "[variables('sharedKey')]",
"enableBGP": "true"
},
"comments": "Create a Connection type site-to-site (IPsec) between the Azure VPN Gateway and the VPN device on-premises"
}
4. Konfigurera den lokala VPN-enheten
Azure VPN-gatewayen är kompatibel med många VPN-enheter från olika leverantörer. Konfigurationsinformation och enheter som har verifierats för att fungera med VPN-gateway finns i Om VPN-enheter.
När du konfigurerar VPN-enheten behöver du följande:
- En delad nyckel. Det här är samma delade nyckel som du anger när du skapar VPN-anslutningen för plats-till-plats. I exemplen används en grundläggande delad nyckel. Vi rekommenderar att du skapar och använder en mer komplex nyckel.
- Den offentliga IP-adressen för din VPN-gateway. Du kan visa den offentliga IP-adressen genom att använda Azure Portal, PowerShell eller CLI. Om du använder Azure Portal hittar du VPN-gatewayens offentliga IP-adress genom att gå till Virtuella nätverksgatewayer och klicka på namnet på din gateway.
Vanligtvis är eBGP-peers direktanslutna (ofta via en WAN-anslutning). Men när du konfigurerar eBGP över IPsec VPN-tunnlar via ExpressRoute Microsoft-peering, finns det flera routningsdomäner mellan eBGP-peers. Använd kommandot ebgp-multihop för att upprätta eBGP-grannrelationen mellan de två peer-peer-enheter som inte är direkt anslutna. Det heltal som följer efter kommandot ebgp-multihop anger TTL-värdet i BGP-paketen. Kommandot maximum-pathsgp 2 möjliggör belastningsutjämning av trafik mellan de två BGP-sökvägarna.
Cisco CSR1000-exempel
I följande exempel visas konfigurationen för Cisco CSR1000 på en virtuell Hyper-V-dator som den lokala VPN-enheten:
!
crypto ikev2 proposal az-PROPOSAL
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
!
crypto ikev2 policy az-POLICY
proposal az-PROPOSAL
!
crypto ikev2 keyring key-peer1
peer azvpn1
address 52.175.253.112
pre-shared-key secret*1234
!
!
crypto ikev2 keyring key-peer2
peer azvpn2
address 52.175.250.191
pre-shared-key secret*1234
!
!
!
crypto ikev2 profile az-PROFILE1
match address local interface GigabitEthernet1
match identity remote address 52.175.253.112 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key-peer1
!
crypto ikev2 profile az-PROFILE2
match address local interface GigabitEthernet1
match identity remote address 52.175.250.191 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key-peer2
!
crypto ikev2 dpd 10 2 on-demand
!
!
crypto ipsec transform-set az-IPSEC-PROPOSAL-SET esp-aes 256 esp-sha-hmac
mode tunnel
!
crypto ipsec profile az-VTI1
set transform-set az-IPSEC-PROPOSAL-SET
set ikev2-profile az-PROFILE1
!
crypto ipsec profile az-VTI2
set transform-set az-IPSEC-PROPOSAL-SET
set ikev2-profile az-PROFILE2
!
!
interface Loopback0
ip address 172.16.0.3 255.255.255.255
!
interface Tunnel0
ip address 172.16.0.1 255.255.255.255
ip tcp adjust-mss 1350
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 52.175.253.112
tunnel protection ipsec profile az-VTI1
!
interface Tunnel1
ip address 172.16.0.2 255.255.255.255
ip tcp adjust-mss 1350
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 52.175.250.191
tunnel protection ipsec profile az-VTI2
!
interface GigabitEthernet1
description External interface
ip address x.243.229.110 255.255.255.252
negotiation auto
no mop enabled
no mop sysid
!
interface GigabitEthernet2
ip address 10.0.0.1 255.255.255.0
negotiation auto
no mop enabled
no mop sysid
!
router bgp 65010
bgp router-id interface Loopback0
bgp log-neighbor-changes
network 10.0.0.0 mask 255.255.255.0
network 10.1.10.0 mask 255.255.255.128
neighbor 10.2.0.228 remote-as 65000
neighbor 10.2.0.228 ebgp-multihop 5
neighbor 10.2.0.228 update-source Loopback0
neighbor 10.2.0.228 soft-reconfiguration inbound
neighbor 10.2.0.228 filter-list 10 out
neighbor 10.2.0.229 remote-as 65000
neighbor 10.2.0.229 ebgp-multihop 5
neighbor 10.2.0.229 update-source Loopback0
neighbor 10.2.0.229 soft-reconfiguration inbound
maximum-paths eibgp 2
!
ip route 0.0.0.0 0.0.0.0 10.1.10.1
ip route 10.2.0.228 255.255.255.255 Tunnel0
ip route 10.2.0.229 255.255.255.255 Tunnel1
!
5. Konfigurera filtrering av VPN-enheter och brandväggar (valfritt)
Konfigurera brandväggen och filtreringen enligt dina krav.
6. Testa och verifiera IPsec-tunneln
Statusen för IPsec-tunnlar kan verifieras på Azure VPN-gatewayen med Hjälp av Powershell-kommandon:
Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object ConnectionStatus,EgressBytesTransferred,IngressBytesTransferred | fl
Exempel på utdata:
ConnectionStatus : Connected
EgressBytesTransferred : 17734660
IngressBytesTransferred : 10538211
Om du vill kontrollera statusen för tunnlarna på Azure VPN-gatewayinstanserna oberoende av varandra använder du följande exempel:
Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object -ExpandProperty TunnelConnectionStatus
Exempel på utdata:
Tunnel : vpn2local1_52.175.250.191
ConnectionStatus : Connected
IngressBytesTransferred : 4877438
EgressBytesTransferred : 8754071
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:30
Tunnel : vpn2local1_52.175.253.112
ConnectionStatus : Connected
IngressBytesTransferred : 5660773
EgressBytesTransferred : 8980589
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:13
Du kan också kontrollera tunnelstatusen på din lokala VPN-enhet.
Cisco CSR1000-exempel:
show crypto session detail
show crypto ikev2 sa
show crypto ikev2 session detail
show crypto ipsec sa
Exempel på utdata:
csr1#show crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
R - IKE Auto Reconnect
Interface: Tunnel1
Profile: az-PROFILE2
Uptime: 00:52:46
Session status: UP-ACTIVE
Peer: 52.175.250.191 port 4500 fvrf: (none) ivrf: (none)
Phase1_id: 52.175.250.191
Desc: (none)
Session ID: 3
IKEv2 SA: local 10.1.10.50/4500 remote 52.175.250.191/4500 Active
Capabilities:DN connid:3 lifetime:23:07:14
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 279 drop 0 life (KB/Sec) 4607976/433
Outbound: #pkts enc'ed 164 drop 0 life (KB/Sec) 4607992/433
Interface: Tunnel0
Profile: az-PROFILE1
Uptime: 00:52:43
Session status: UP-ACTIVE
Peer: 52.175.253.112 port 4500 fvrf: (none) ivrf: (none)
Phase1_id: 52.175.253.112
Desc: (none)
Session ID: 2
IKEv2 SA: local 10.1.10.50/4500 remote 52.175.253.112/4500 Active
Capabilities:DN connid:2 lifetime:23:07:17
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 668 drop 0 life (KB/Sec) 4607926/437
Outbound: #pkts enc'ed 477 drop 0 life (KB/Sec) 4607953/437
Radprotokollet på VTI (Virtual Tunnel Interface) ändras inte till "upp" förrän IKE fas 2 har slutförts. Följande kommando verifierar säkerhetsassociationen:
csr1#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.1.10.50/4500 52.175.253.112/4500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/3277 sec
Tunnel-id Local Remote fvrf/ivrf Status
3 10.1.10.50/4500 52.175.250.191/4500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/3280 sec
IPv6 Crypto IKEv2 SA
csr1#show crypto ipsec sa | inc encaps|decaps
#pkts encaps: 177, #pkts encrypt: 177, #pkts digest: 177
#pkts decaps: 296, #pkts decrypt: 296, #pkts verify: 296
#pkts encaps: 554, #pkts encrypt: 554, #pkts digest: 554
#pkts decaps: 746, #pkts decrypt: 746, #pkts verify: 746
Verifiera anslutningen från start till slut mellan det lokala nätverket och det virtuella Azure-nätverket
Om IPsec-tunnlarna är klara och de statiska vägarna är korrekt konfigurerade bör du kunna pinga IP-adressen för den fjärranslutna BGP-peern:
csr1#ping 10.2.0.228
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.228, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/5 ms
#ping 10.2.0.229
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.229, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms
Verifiera BGP-sessionerna via IPsec
På Azure VPN-gatewayen kontrollerar du status för BGP-peer:
Get-AzVirtualNetworkGatewayBGPPeerStatus -VirtualNetworkGatewayName vpnGtw -ResourceGroupName SEA-C1-VPN-ER | ft
Exempel på utdata:
Asn ConnectedDuration LocalAddress MessagesReceived MessagesSent Neighbor RoutesReceived State
--- ----------------- ------------ ---------------- ------------ -------- -------------- -----
65010 00:57:19.9003584 10.2.0.228 68 72 172.16.0.10 2 Connected
65000 10.2.0.228 0 0 10.2.0.228 0 Unknown
65000 07:13:51.0109601 10.2.0.228 507 500 10.2.0.229 6 Connected
Om du vill kontrollera listan över nätverksprefix som tas emot via eBGP från VPN-koncentraten lokalt kan du filtrera efter attribut "Ursprung":
Get-AzVirtualNetworkGatewayLearnedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG | Where-Object Origin -eq "EBgp" |ft
I exempelutdata är ASN 65010 det autonoma BGP-systemnumret i det lokala VPN-nätverket.
AsPath LocalAddress Network NextHop Origin SourcePeer Weight
------ ------------ ------- ------- ------ ---------- ------
65010 10.2.0.228 10.1.10.0/25 172.16.0.10 EBgp 172.16.0.10 32768
65010 10.2.0.228 10.0.0.0/24 172.16.0.10 EBgp 172.16.0.10 32768
Så här visar du en lista över annonserade vägar:
Get-AzVirtualNetworkGatewayAdvertisedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG -Peer 10.2.0.228 | ft
Exempel på utdata:
AsPath LocalAddress Network NextHop Origin SourcePeer Weight
------ ------------ ------- ------- ------ ---------- ------
10.2.0.229 10.2.0.0/24 10.2.0.229 Igp 0
10.2.0.229 172.16.0.10/32 10.2.0.229 Igp 0
10.2.0.229 172.16.0.5/32 10.2.0.229 Igp 0
10.2.0.229 172.16.0.1/32 10.2.0.229 Igp 0
65010 10.2.0.229 10.1.10.0/25 10.2.0.229 Igp 0
65010 10.2.0.229 10.0.0.0/24 10.2.0.229 Igp 0
Exempel för den lokala Cisco CSR1000:
csr1#show ip bgp neighbors 10.2.0.228 routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.2.0.0/24 10.2.0.228 0 65000 i
r> 172.16.0.1/32 10.2.0.228 0 65000 i
r> 172.16.0.2/32 10.2.0.228 0 65000 i
r> 172.16.0.3/32 10.2.0.228 0 65000 i
Total number of prefixes 4
Listan över nätverk som annonseras från den lokala Cisco CSR1000 till Azure VPN-gatewayen kan visas med hjälp av följande kommando:
csr1#show ip bgp neighbors 10.2.0.228 advertised-routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.0.0.0/24 0.0.0.0 0 32768 i
*> 10.1.10.0/25 0.0.0.0 0 32768 i
Total number of prefixes 2