ExpressRoute-kryptering: IPsec över ExpressRoute för Virtual WAN

Den här artikeln visar hur du använder Azure Virtual WAN för att upprätta en IPsec/IKE VPN-anslutning från ditt lokala nätverk till Azure via privat peering för en Azure ExpressRoute-krets. Den här tekniken kan tillhandahålla en krypterad överföring mellan de lokala nätverken och virtuella Azure-nätverk via ExpressRoute, utan att gå över det offentliga Internet eller använda offentliga IP-adresser.

Topologi och routning

Följande diagram visar ett exempel på VPN-anslutning över privat ExpressRoute-peering:

Diagrammet visar ett nätverk i det lokala nätverket som är anslutet till Azure Hub VPN-gatewayen via privat ExpressRoute-peering. Anslutningsetableringen är enkel:

1. Upprätta ExpressRoute-anslutning med en ExpressRoute-krets och privat peering.
2. Upprätta VPN-anslutningen enligt beskrivningen i den här artikeln.

En viktig aspekt av den här konfigurationen är routning mellan de lokala nätverken och Azure över både ExpressRoute- och VPN-sökvägarna.

Trafik från lokala nätverk till Azure

För trafik från lokala nätverk till Azure annonseras Azure-prefixen (inklusive den virtuella hubben och alla virtuella ekernätverk som är anslutna till hubben) via både den privata ExpressRoute-peering-BGP:n och VPN BGP. Detta resulterar i två nätverksvägar (sökvägar) mot Azure från de lokala nätverken:

• En över den IPsec-skyddade sökvägen
• En direkt över ExpressRoute utan IPsec-skydd

Om du vill tillämpa kryptering på kommunikationen måste du se till att Azure-vägarna via lokal VPN-gateway föredras framför den direkta ExpressRoute-sökvägen för det VPN-anslutna nätverket i diagrammet.

Trafik från Azure till lokala nätverk

Samma krav gäller för trafiken från Azure till lokala nätverk. För att säkerställa att IPsec-sökvägen föredras framför den direkta ExpressRoute-sökvägen (utan IPsec) har du två alternativ:

• Annonsera mer specifika prefix i VPN BGP-sessionen för det VPN-anslutna nätverket. Du kan annonsera ett större intervall som omfattar det VPN-anslutna nätverket via privat ExpressRoute-peering och sedan mer specifika intervall i VPN BGP-sessionen. Annonsera till exempel 10.0.0.0/16 över ExpressRoute och 10.0.1.0/24 över VPN.

• Annonsera disjoint-prefix för VPN och ExpressRoute. Om de VPN-anslutna nätverksintervallen är åtskilda från andra ExpressRoute-anslutna nätverk kan du annonsera prefixen i VPN- respektive ExpressRoute BGP-sessioner. Annonsera till exempel 10.0.0.0/24 över ExpressRoute och 10.0.1.0/24 över VPN.

I båda dessa exempel skickar Azure trafik till 10.0.1.0/24 över VPN-anslutningen i stället för direkt över ExpressRoute utan VPN-skydd.

Varning

Om du annonserar samma prefix för både ExpressRoute- och VPN-anslutningar använder Azure ExpressRoute-sökvägen direkt utan VPN-skydd.

Innan du börjar

Innan du startar konfigurationen kontrollerar du att du uppfyller följande kriterier:

• Om du redan har ett virtuellt nätverk som du vill ansluta till kontrollerar du att inget av undernäten i det lokala nätverket överlappar det. Ditt virtuella nätverk kräver inget gateway-undernät och kan inte ha några virtuella nätverksgatewayer. Om du inte har ett virtuellt nätverk kan du skapa ett med hjälp av stegen i den här artikeln.
• Hämta ett IP-adressintervall för din hubbregion. Hubben är ett virtuellt nätverk och adressintervallet som du anger för hubbregionen kan inte överlappa med ett befintligt virtuellt nätverk som du ansluter till. Det kan inte heller överlappa adressintervallen som du ansluter till lokalt. Om du inte känner till IP-adressintervallen som finns i din lokala nätverkskonfiguration kan du samordna med någon som kan ange den informationen åt dig.
• Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

1. Skapa ett virtuellt WAN och en hubb med gatewayer

Följande Azure-resurser och motsvarande lokala konfigurationer måste finnas på plats innan du fortsätter:

• Ett virtuellt Wan-nätverk i Azure.
• En virtuell WAN-hubb med en ExpressRoute-gateway och en VPN-gateway.

Stegen för att skapa ett virtuellt Azure WAN och en hubb med en ExpressRoute-association finns i Skapa en ExpressRoute-association med Azure Virtual WAN. Stegen för att skapa en VPN-gateway i virtual WAN finns i Skapa en plats-till-plats-anslutning med Azure Virtual WAN.

2. Skapa en plats för det lokala nätverket

Platsresursen är samma som VPN-platser som inte är ExpressRoute för ett virtuellt WAN. IP-adressen för den lokala VPN-enheten kan nu vara antingen en privat IP-adress eller en offentlig IP-adress i det lokala nätverket som kan nås via expressroute-privat peering som skapats i steg 1.

Anteckning

IP-adressen för den lokala VPN-enheten måste vara en del av adressprefixen som annonseras till den virtuella WAN-hubben via privat Azure ExpressRoute-peering.

1. Gå till DinaVirtualWAN > VPN-platser och skapa en plats för ditt lokala nätverk. Grundläggande steg finns i Skapa en webbplats. Tänk på följande inställningsvärden:

   • Border Gateway Protocol: Välj "Aktivera" om ditt lokala nätverk använder BGP.
   • Privat adressutrymme: Ange det IP-adressutrymme som finns på din lokala plats. Trafik som är avsedd för det här adressutrymmet dirigeras till det lokala nätverket via VPN-gatewayen.

2. Välj Länkar för att lägga till information om de fysiska länkarna. Tänk på följande inställningsinformation:

   • Providernamn: Namnet på internetleverantören för den här webbplatsen. För ett lokalt ExpressRoute-nätverk är det namnet på ExpressRoute-tjänstleverantören.

   • Hastighet: Hastigheten för Internet-tjänstlänken eller ExpressRoute-kretsen.

   • IP-adress: Den offentliga IP-adressen för VPN-enheten som finns på din lokala plats. Eller för ExpressRoute lokalt är det VPN-enhetens privata IP-adress via ExpressRoute.

   • Om BGP är aktiverat gäller det för alla anslutningar som skapats för den här webbplatsen i Azure. Att konfigurera BGP på ett virtuellt WAN motsvarar att konfigurera BGP på en Azure VPN-gateway.

   • Din lokala BGP-peeradress får inte vara samma som IP-adressen för ditt VPN till enheten eller vpn-platsens virtuella nätverksadressutrymme. Använd en annan IP-adress som BGP-peeradress på VPN-enheten. Det kan vara en adress som tilldelats till loopback-gränssnittet på enheten. Det kan dock inte vara en APIPA (169.254.x. x) adress. Ange den här adressen på motsvarande VPN-plats som representerar platsen. BGP-krav finns i Om BGP med Azure VPN Gateway.

3. Välj Nästa: Granska + skapa > för att kontrollera inställningsvärdena och skapa VPN-platsen och sedan Skapa webbplatsen.

4. Anslut sedan platsen till hubben med hjälp av dessa grundläggande steg som en riktlinje. Det kan ta upp till 30 minuter att uppdatera gatewayen.

3. Uppdatera VPN-anslutningsinställningen för att använda ExpressRoute

När du har skapat VPN-platsen och anslutit till hubben använder du följande steg för att konfigurera anslutningen så att den använder privat ExpressRoute-peering:

1. Gå till den virtuella hubben. Du kan antingen göra detta genom att gå till Virtual WAN och välja hubben för att öppna hubbsidan, eller så kan du gå till den anslutna virtuella hubben från VPN-platsen.

2. Under Anslutning väljer du VPN (plats-till-plats).

3. Välj ellipsen (...) eller högerklicka på VPN-platsen över ExpressRoute och välj Redigera VPN-anslutning till den här hubben.

4. Lämna standardinställningarna på sidan Grundläggande .

5. På sidan Länkanslutning 1 konfigurerar du följande inställningar:

   • För Använd privat IP-adress i Azure väljer du Ja. Inställningen konfigurerar hubbens VPN-gateway för att använda privata IP-adresser inom hubbadressintervallet på gatewayen för den här anslutningen i stället för de offentliga IP-adresserna. Detta säkerställer att trafiken från det lokala nätverket passerar de privata ExpressRoute-peeringsökvägarna i stället för att använda det offentliga Internet för den här VPN-anslutningen.

6. Klicka på Skapa för att uppdatera inställningarna. När inställningarna har skapats använder HUB VPN-gatewayen de privata IP-adresserna på VPN-gatewayen för att upprätta IPsec/IKE-anslutningar med den lokala VPN-enheten över ExpressRoute.

4. Hämta privata IP-adresser för hubbens VPN-gateway

Ladda ned VPN-enhetskonfigurationen för att hämta de privata IP-adresserna för hubbens VPN-gateway. Du behöver dessa adresser för att konfigurera den lokala VPN-enheten.

1. På sidan för hubben väljer du VPN (plats-till-plats) under Anslutning.

2. Längst upp på översiktssidan väljer du Ladda ned VPN-konfiguration.

   Azure skapar ett lagringskonto i resursgruppen "microsoft-network-[location]", där platsen är WAN-platsen. När du har tillämpat konfigurationen på dina VPN-enheter kan du ta bort det här lagringskontot.

3. När filen har skapats väljer du länken för att ladda ned den.

4. Tillämpa konfigurationen på VPN-enheten.

Konfigurationsfil för VPN-enheter

Enhetskonfigurationsfilen innehåller de inställningar som ska användas när du konfigurerar din lokala VPN-enhet. När du visar den här filen ser du följande information:

• vpnSiteConfiguration: Det här avsnittet anger enhetsinformationen som konfigurerats som en plats som ansluter till det virtuella WAN-nätverket. Den innehåller namnet och den offentliga IP-adressen för grenenheten.

• vpnSiteConnections: Det här avsnittet innehåller information om följande inställningar:

  • Adressutrymmet för den virtuella hubbens virtuella nätverk.
    Exempel: "AddressSpace":"10.51.230.0/24"
  • Adressutrymmet för de virtuella nätverk som är anslutna till hubben.
    Exempel: "ConnectedSubnets":["10.51.231.0/24"]
  • IP-adresser för den virtuella hubbens VPN-gateway. Eftersom varje anslutning till VPN-gatewayen består av två tunnlar i aktiv-aktiv-konfigurationen visas båda IP-adresserna i den här filen. I det här exemplet visas Instance0 och Instance1 för varje plats, och de är privata IP-adresser i stället för offentliga IP-adresser.
    Exempel: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
  • Konfigurationsinformation för VPN-gatewayanslutningen, till exempel BGP och i förväg delad nyckel. Den i förväg delade nyckeln genereras automatiskt åt dig. Du kan alltid redigera anslutningen på sidan Översikt för en anpassad i förväg delad nyckel.

Konfigurationsfil för exempelenhet

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

Konfigurera en VPN-enhet

Om du behöver anvisningar för att konfigurera enheten kan du använda instruktionerna på sidan om konfigurationsskript till VPN-enheter med följande förbehåll:

• Anvisningarna på VPN-enhetens sida är inte skrivna för ett virtuellt WAN. Men du kan använda virtual WAN-värden från konfigurationsfilen för att konfigurera VPN-enheten manuellt.
• De nedladdningsbara enhetskonfigurationsskripten för VPN-gatewayen fungerar inte för det virtuella WAN-nätverket eftersom konfigurationen skiljer sig åt.
• Ett nytt virtuellt WAN har stöd för både IKEv1 och IKEv2.
• Ett virtuellt WAN kan endast använda routningsbaserade VPN-enheter och enhetsinstruktioner.

5. Visa ditt virtuella WAN

1. Gå till det virtuella WAN-nätverket.
2. På sidan Översikt representerar varje punkt på kartan en hubb.
3. I avsnittet Hubbar och anslutningar kan du visa hubb-, plats-, region- och VPN-anslutningsstatus. Du kan också visa byte in och ut.

6. Övervaka en anslutning

Skapa en anslutning för att övervaka kommunikationen mellan en virtuell Azure-dator (VM) och en fjärrplats. Information om hur du ställer in en anslutningsövervakare finns i dokumentationen om att övervaka nätverkskommunikation. Källfältet är den virtuella datorns IP-adress i Azure och mål-IP-adressen är platsens IP-adress.

7. Rensa resurser

När du inte längre behöver dessa resurser kan du använda Remove-AzResourceGroup för att ta bort resursgruppen och alla resurser som den innehåller. Kör följande PowerShell-kommando och ersätt myResourceGroup med namnet på resursgruppen:

Remove-AzResourceGroup -Name myResourceGroup -Force

Nästa steg

Den här artikeln hjälper dig att skapa en VPN-anslutning via privat ExpressRoute-peering med hjälp av Virtual WAN. Mer information om Virtual WAN och relaterade funktioner finns i Virtual WAN översikt.