ExpressRoute-kryptering: IPsec över ExpressRoute för Virtual WAN

  • Artikel
  • 8 minuter för att läsa

Den här artikeln visar hur du använder Azure Virtual WAN för att upprätta en IPsec-/IKE VPN-anslutning från ditt lokala nätverk till Azure via privat peering av en Azure ExpressRoute-krets. Den här tekniken kan ge en krypterad överföring mellan de lokala nätverken och virtuella Azure-nätverk via ExpressRoute, utan att gå via det offentliga Internet eller använda offentliga IP-adresser.

Topologi och routning

Följande diagram visar ett exempel på VPN-anslutning via privat ExpressRoute-peering:

VPN via ExpressRoute

Diagrammet visar ett nätverk i det lokala nätverket som är anslutet till Azure Hub VPN-gatewayen via privat ExpressRoute-peering. Etableringen av anslutningar är enkel:

  1. Upprätta ExpressRoute-anslutning med en ExpressRoute-krets och privat peering.
  2. Upprätta VPN-anslutningen enligt beskrivningen i den här artikeln.

En viktig aspekt av den här konfigurationen är routning mellan de lokala nätverken och Azure över både ExpressRoute- och VPN-sökvägarna.

Trafik från lokala nätverk till Azure

För trafik från lokala nätverk till Azure annonseras Azure-prefixen (inklusive den virtuella hubben och alla virtuella ekernätverk som är anslutna till hubben) via både ExpressRoutes privata peering-BGP och VPN BGP. Detta resulterar i två nätverksvägar (sökvägar) mot Azure från de lokala nätverken:

  • En över den IPsec-skyddade sökvägen
  • En direkt via ExpressRoute utan IPsec-skydd

Om du vill använda kryptering för kommunikationen måste du se till att För det VPN-anslutna nätverket i diagrammet är Azure-vägar via en lokal VPN-gateway att föredra framför den direkta ExpressRoute-sökvägen.

Trafik från Azure till lokala nätverk

Samma krav gäller för trafiken från Azure till lokala nätverk. För att säkerställa att IPsec-sökvägen föredras framför den direkta ExpressRoute-sökvägen (utan IPsec) har du två alternativ:

  • Annonsera mer specifika prefix i VPN BGP-sessionen för det VPN-anslutna nätverket. Du kan annonsera ett större intervall som omfattar det VPN-anslutna nätverket via privat ExpressRoute-peering, och sedan mer specifika intervall i VPN BGP-sessionen. Annonsera till exempel 10.0.0.0/16 via ExpressRoute och 10.0.1.0/24 via VPN.

  • Annonsera olika prefix för VPN och ExpressRoute. Om DE VPN-anslutna nätverksintervallen är kopplade från andra ExpressRoute-anslutna nätverk kan du annonsera prefixen i VPN- respektive ExpressRoute BGP-sessionerna. Annonsera till exempel 10.0.0.0/24 via ExpressRoute och 10.0.1.0/24 via VPN.

I båda dessa exempel skickar Azure trafik till 10.0.1.0/24 via VPN-anslutningen i stället för direkt via ExpressRoute utan VPN-skydd.

Varning

Om du annonserar samma prefix över både ExpressRoute- och VPN-anslutningar använder Azure ExpressRoute-sökvägen direkt utan VPN-skydd.

Innan du börjar

Innan du startar konfigurationen kontrollerar du att du uppfyller följande kriterier:

  • Om du redan har ett virtuellt nätverk som du vill ansluta till kontrollerar du att inget av under näten i det lokala nätverket överlappar det. Ditt virtuella nätverk kräver inte ett Gateway-undernät och kan inte ha några virtuella nätverksgateway. Om du inte har ett virtuellt nätverk kan du skapa ett med hjälp av stegen i den här artikeln.
  • Hämta ett IP-adressintervall för din hubbregion. Hubben är ett virtuellt nätverk och det adress intervall som du anger för Hub-regionen får inte överlappa med ett befintligt virtuellt nätverk som du ansluter till. Det får inte heller överlappa de adress intervall som du ansluter till lokalt. Om du inte känner till IP-adressintervall som finns i din lokala nätverks konfiguration, koordinerar du med någon som kan ge den informationen åt dig.
  • Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

1. Skapa ett virtuellt WAN och en hubb med gatewayer

Följande Azure-resurser och motsvarande lokala konfigurationer måste finnas på plats innan du fortsätter:

Anvisningar för hur du skapar ett virtuellt WAN i Azure och en hubb med en ExpressRoute-association finns i Skapa en ExpressRoute-association med hjälp av Azure Virtual WAN. Anvisningar för hur du skapar en VPN-gateway i det virtuella WAN-nätverket finns i Skapa en plats-till-plats-anslutning med hjälp av Azure Virtual WAN.

2. Skapa en plats för det lokala nätverket

Platsresursen är samma som VPN-platser som inte är ExpressRoute-platser för ett virtuellt WAN. IP-adressen för den lokala VPN-enheten kan nu antingen vara en privat IP-adress eller en offentlig IP-adress i det lokala nätverket som kan nås via privat ExpressRoute-peering som skapades i steg 1.

Anteckning

IP-adressen för den lokala VPN-enheten måste vara en del av de adressprefix som annonseras till den virtuella WAN-hubben via Azure ExpressRoute privat peering.

  1. Gå till Azure Portal i webbläsaren.

  2. Välj den hubb som du skapade. På sidan för den virtuella WAN-hubben går du till Anslutning och väljer VPN-platser.

  3. På sidan VPN-platser väljer du +Skapa plats.

  4. Fyll i följande fält på sidan Skapa webbplats:

    • Prenumeration: Verifiera prenumerationen.
    • Resursgrupp: Välj eller skapa den resursgrupp som du vill använda.
    • Region: Ange Azure-regionen för VPN-platsresursen.
    • Namn: Ange det namn som du vill använda för att referera till din lokala plats.
    • Enhetsleverantör: Ange leverantören av den lokala VPN-enheten.
    • Border Gateway Protocol: Välj "Aktivera" om ditt lokala nätverk använder BGP.
    • Privat adressutrymme: Ange DET IP-adressutrymme som finns på din lokala plats. Trafik till det här adressutrymmet dirigeras till det lokala nätverket via VPN-gatewayen.
    • Hubbar: Välj en eller flera hubbar för att ansluta den här VPN-platsen. De valda hubbarna måste redan ha VPN-gatewayer skapade.

  5. Välj Nästa: Länkar > vpn-länkinställningarna:

    • Länknamn: Det namn som du vill referera till den här anslutningen med.
    • Providernamn: Namnet på internetleverantören för den här platsen. För ett lokalt ExpressRoute-nätverk är det namnet på ExpressRoute-tjänstleverantören.
    • Hastighet: Hastigheten för Internettjänstlänken eller ExpressRoute-kretsen.
    • IP-adress: Den offentliga IP-adressen för VPN-enheten som finns på din lokala plats. Eller för ExpressRoute lokalt är det vpn-enhetens privata IP-adress via ExpressRoute.

    Om BGP är aktiverat gäller det för alla anslutningar som skapats för den här platsen i Azure. Att konfigurera BGP på ett virtuellt WAN motsvarar att konfigurera BGP på en Azure VPN-gateway.

    Din lokala BGP-peeradress får inte vara samma som IP-adressen för ditt VPN till enheten eller det virtuella nätverkets adressutrymme på VPN-platsen. Använd en annan IP-adress på VPN-enheten för BGP-peer-IP-adressen. Det kan vara en adress som tilldelats till loopback-gränssnittet på enheten. Det kan dock inte vara ett APIPA (169.254.x. x) adress. Ange den här adressen på motsvarande VPN-plats som representerar platsen. Krav för BGP finns i Om BGP med Azure VPN Gateway.

  6. Välj Nästa: Granska + skapa > för att kontrollera inställningsvärdena och skapa VPN-platsen. Om du har valt Hubbar för att ansluta upprättas anslutningen mellan det lokala nätverket och hubbens VPN-gateway.

3. Uppdatera VPN-anslutningsinställningen för att använda ExpressRoute

När du har skapat VPN-platsen och ansluter till hubben använder du följande steg för att konfigurera anslutningen så att den använder privat ExpressRoute-peering:

  1. Gå tillbaka till resurssidan för virtuellt WAN-nätverk och välj hubbresursen. Eller navigera från VPN-platsen till den anslutna hubben.

    Välj en hubb

  2. Under Anslutning väljer du VPN (plats-till-plats).

    Välj VPN (plats-till-plats)

  3. Välj ellipsen (...) på VPN-platsen via ExpressRoute och välj Redigera VPN-anslutning till den här hubben.

    Ange konfigurationsmenyn

  4. För Använd privat IP-adress i Azure väljer du Ja. Inställningen konfigurerar hubbens VPN-gateway till att använda privata IP-adresser inom hubbadressintervallet på gatewayen för den här anslutningen, i stället för de offentliga IP-adresserna. Detta säkerställer att trafiken från det lokala nätverket passerar ExpressRoutes privata peeringsökvägar i stället för att använda det offentliga Internet för den här VPN-anslutningen. Följande skärmbild visar inställningen:

    Inställning för att använda en privat IP-adress för VPN-anslutningen

  5. Välj Spara.

När du har sparat ändringarna använder nav-VPN-gatewayen de privata IP-adresserna på VPN-gatewayen för att upprätta IPsec-/IKE-anslutningar med den lokala VPN-enheten via ExpressRoute.

4. Hämta de privata IP-adresserna för nav-VPN-gatewayen

Ladda ned VPN-enhetskonfigurationen för att hämta de privata IP-adresserna för nav-VPN-gatewayen. Du behöver dessa adresser för att konfigurera den lokala VPN-enheten.

  1. På sidan för hubben väljer du VPN (plats-till-plats) under Anslutning.

  2. Längst upp på sidan Översikt väljer du Ladda ned VPN-konfiguration.

    Azure skapar ett lagringskonto i resursgruppen "microsoft-network-[location]," där platsen är WAN-platsen. När du har tillämpat konfigurationen på VPN-enheterna kan du ta bort det här lagringskontot.

  3. När filen har skapats väljer du länken för att ladda ned den.

  4. Tillämpa konfigurationen på VPN-enheten.

Konfigurationsfil för VPN-enhet

Enhetskonfigurationsfilen innehåller de inställningar som ska användas när du konfigurerar din lokala VPN-enhet. När du visar den här filen ser du följande information:

  • vpnSiteConfiguration: Det här avsnittet anger den enhetsinformation som konfigurerats som en plats som ansluter till det virtuella WAN-nätverket. Den innehåller namnet och den offentliga IP-adressen för grenenheten.

  • vpnSiteConnections: Det här avsnittet innehåller information om följande inställningar:

    • Adressutrymme för den virtuella hubbens virtuella nätverk.
      Exempel: "AddressSpace":"10.51.230.0/24"
    • Adressutrymmet för de virtuella nätverk som är anslutna till hubben.
      Exempel: "ConnectedSubnets":["10.51.231.0/24"]
    • IP-adresser för den virtuella hubbens VPN-gateway. Eftersom varje anslutning av VPN-gatewayen består av två tunnlar i aktiv-aktiv-konfiguration visas båda IP-adresserna i listan i den här filen. I det här exemplet ser du Instance0 och Instance1 för varje plats, och de är privata IP-adresser i stället för offentliga IP-adresser.
      Exempel: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Konfigurationsinformation för VPN-gatewayanslutningen, till exempel BGP och i förväg delad nyckel. Den i förväg delade nyckeln genereras automatiskt åt dig. Du kan alltid redigera anslutningen på sidan Översikt för en anpassad i förväg delad nyckel.

Konfigurationsfil för exempelenhet

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

Konfigurera en VPN-enhet

Om du behöver anvisningar för att konfigurera enheten kan du använda instruktionerna på sidan om konfigurationsskript till VPN-enheter med följande förbehåll:

  • Anvisningarna på vpn-enhetssidan är inte skrivna för ett virtuellt WAN. Men du kan använda de virtuella WAN-värdena från konfigurationsfilen för att konfigurera VPN-enheten manuellt.
  • De nedladdningsbara enhetskonfigurationsskripten för VPN-gatewayen fungerar inte för det virtuella WAN-nätverket eftersom konfigurationen är annorlunda.
  • Ett nytt virtuellt WAN har stöd för både IKEv1 och IKEv2.
  • Ett virtuellt WAN kan endast använda ruttbaserade VPN-enheter och enhetsinstruktioner.

5. Visa ditt virtuella WAN

  1. Gå till det virtuella WAN-nätverk.
  2. På sidan Översikt representerar varje punkt på kartan en hubb.
  3. I avsnittet Hubbar och anslutningar kan du visa status för hubb, plats, region och VPN-anslutning. Du kan också visa byte in och ut.

6. Övervaka en anslutning

Skapa en anslutning för att övervaka kommunikationen mellan en virtuell Azure-dator (VM) och en fjärrplats. Information om hur du ställer in en anslutningsövervakare finns i dokumentationen om att övervaka nätverkskommunikation. Källfältet är DEN virtuella datorns IP-adress i Azure och mål-IP-adressen är platsens IP-adress.

7. Rensa resurser

När du inte längre behöver dessa resurser kan du använda Remove-AzResourceGroup för att ta bort resursgruppen och alla resurser som den innehåller. Kör följande PowerShell-kommando och ersätt myResourceGroup med namnet på din resursgrupp:

Remove-AzResourceGroup -Name myResourceGroup -Force

Nästa steg

Den här artikeln hjälper dig att skapa en VPN-anslutning via privat ExpressRoute-peering med hjälp av Virtual WAN. Mer information om Virtual WAN och relaterade funktioner finns i Virtual WAN översikt.