Azure VMware çözümü için vWAN 'da siteden siteye VPN yapılandırma

  • Makale
  • Okumak için 7 dakika

bu makalede, Microsoft Azure sanal WAN hub 'ında bir VPN (ıpsec ıkev1 ve ıkev2) siteden siteye tüneli sonlandırılırsınız. Hub, Azure VMware çözümü ExpressRoute ağ geçidini ve siteden siteye VPN ağ geçidini içerir. Azure VMware Çözüm uç noktası ile şirket içi VPN cihazını bağlar.

VPN siteden siteye tünel mimarisini gösteren diyagram.

Önkoşullar

Şirket içi VPN cihazında, genel kullanıma yönelik bir IP adresi Sonlandırıcı olması gerekir.

Azure sanal WAN oluşturma

  1. Portalda, kaynakları ara çubuğunda, arama kutusuna sanal WAN yazın ve ENTER' u seçin.

  2. Sonuçlardan sanal WAN 'lar ' ı seçin. Sanal WAN 'Lar sayfasında, + Oluştur ' u seçerek WAN oluştur sayfasını açın.

  3. WAN oluştur sayfasında, temel bilgiler sekmesinde alanları girin. Ortamınıza uygulanacak örnek değerleri değiştirin.

    Ekran görüntüsü, temel bilgiler sekmesi seçiliyken WAN oluştur bölmesini gösterir.

    • Abonelik: kullanmak istediğiniz aboneliği seçin.
    • Kaynak grubu: Yeni oluştur veya var olanı kullan.
    • Kaynak grubu konumu: açılan listeden bir kaynak konumu seçin. WAN, global bir kaynaktır ve belirli bir bölgeyle sınırlı değildir. Ancak, oluşturduğunuz WAN kaynağını yönetmek ve bulmak için bir bölge seçmeniz gerekir.
    • Ad: sanal WAN 'larınızı çağırmak istediğiniz adı yazın.
    • Tür: temel veya standart. Standart' ı seçin. Temel ' i seçerseniz, temel sanal WAN 'ların yalnızca temel hub 'ları içerebileceğini anlayın. Temel hub 'lar yalnızca siteden siteye bağlantılar için kullanılabilir.

  4. Alanları doldurmayı bitirdikten sonra sayfanın alt kısmındaki gözden geçir + oluştur' u seçin.

  5. Doğrulama başarılı olduktan sonra, sanal WAN oluşturmak için Oluştur ' a tıklayın.

Sanal hub oluşturma

Sanal hub, sanal WAN tarafından oluşturulan ve kullanılan sanal bir ağ. Bu, sanal WAN ağınızın bir bölgedeki temel sayısıdır. Siteden siteye ve ExpressRoute için ağ geçitleri içerebilir.

İpucu

Ayrıca, var olan bir hub 'da ağ geçidi oluşturabilirsiniz.

  1. Oluşturduğunuz sanal WAN 'ı bulun. Sanal WAN sayfasında, bağlantı bölümünde, hub' ı seçin.

  2. Hub 'lar sayfasında + yeni hub ' ı seçerek sanal hub oluştur sayfasını açın.

    Ekran görüntüsü, temel kavramlar sekmesi seçiliyken sanal hub oluştur bölmesini gösterir.

  3. Sanal hub sayfası temel bilgileri Oluştur sekmesinde aşağıdaki alanları doldurun:

    • Bölge: Bu ayar daha önce konum olarak adlandırılmıştı. Bu, sanal hub 'ınızı oluşturmak istediğiniz bölgedir.
    • Ad: sanal hub 'ın bilinmesinin tercih ettiğiniz ad.
    • Hub özel adres alanı: bir hub oluşturmak için en az adres alanı/24 ' dir.

VPN ağ geçidi oluşturma

  1. Sanal hub oluştur sayfasında Siteden siteye sekmesini açmak için Siteden siteye'ye tıklayın.

    Siteden siteye'nin seçili olduğu Sanal merkez oluştur bölmesini gösteren ekran görüntüsü.

  2. Siteden siteye sekmesinde aşağıdaki alanları doldurun:

    • Siteden siteye VPN oluşturmak için Evet'i seçin.

    • AS Numarası: AS Numarası alanı düzenlenemez.

    • Ağ geçidi ölçek birimleri: Açılan listeden Ağ geçidi ölçek birimleri değerini seçin. Ölçek birimi, siteleri bağlamak için sanal hub'da oluşturulan VPN ağ geçidinin toplam aktarım hızını seçmenizi sağlar.

      1 ölçek birimi = 500 Mb/sn'yi alırsanız, yedeklilik için her biri en fazla 500 Mb/sn aktarım hızına sahip iki örnek oluşturulacak anlamına gelir. Örneğin, her dalda 10 Mb/sn yapan beş dal varsa, baş uçta toplam 50 Mb/sn gerekir. Azure VPN ağ geçidinin toplam kapasitesini planlama, hub'a dal sayısını desteklemek için gereken kapasite değerlendirildikten sonra yapılması gerekir.

    • Yönlendirme tercihi: Azure yönlendirme tercihi, Trafik yollarınızı Azure ile İnternet arasında nasıl yönlendireceklerini seçmenize olanak sağlar. Trafiği Microsoft ağı veya ISS ağı (genel İnternet) üzerinden yönlendirmeyi seçebilirsiniz. Bu seçenekler sırasıyla soğuk yönlendirme ve sık erişimli yönlendirme olarak da adlandırılır.

      Sanal WAN'daki genel IP adresi, seçilen yönlendirme seçeneğine bağlı olarak hizmet tarafından atanır. Microsoft ağı veya ISS aracılığıyla yönlendirme tercihi hakkında daha fazla bilgi için Yönlendirme tercihi makalesine bakın.

  3. Doğrulamak için Gözden Geçir + Oluştur'a seçin.

  4. Hub'ı ve ağ geçidini oluşturmak için Oluştur'a seçin. Bu işlem 30 dakika sürebilir. Hub'lar sayfasında hub'ı görüntülemek için 30 dakika sonra Yenile'yi seçin. Kaynağa gitmek için Kaynağa git'i seçin.

Siteden siteye VPN oluşturma

  1. Azure portal, daha önce oluşturduğunuz sanal WAN ' ı seçin.

  2. Sanal hub 'a genel bakış bölümünde bağlantı > VPN (siteden siteye) > yeni VPN sitesi oluştur' u seçin.

    Sanal hub 'ın VPN (siteden siteye) ile ilgili genel bakış sayfasının ekran görüntüsü ve yeni VPN sitesi oluştur seçilidir.

  3. Temel bilgiler sekmesinde gerekli alanları girin.

    Temel bilgiler sekmesi açık olan VPN sitesi oluştur sayfasını gösteren ekran görüntüsü.

    • Bölge -daha önce konum olarak adlandırılır. Bu site kaynağını oluşturmak istediğiniz konumdur.

    • Ad -şirket içi sitenize başvurmak istediğiniz addır.

    • Cihaz satıcısı -VPN cihaz satıcısının adı, örneğin Citrix, Cisco veya Barbcuda. Azure ekibinin, daha iyi en iyi duruma getirme olanakları eklemek veya sorunu gidermenize yardımcı olmak için ortamınızı daha iyi anlamasına yardımcı olur.

    • Özel adres alanı -şirket içi SITENIZDE bulunan CIDR IP adresi alanı. Bu adres alanını hedefleyen trafik yerel sitenize yönlendirilir. CıDR bloğu yalnızca, site için BGP etkinleştirilmemişse gereklidir.

    Not

    Siteyi oluşturduktan sonra adres alanını düzenlerseniz (örneğin, ek bir adres alanı eklerseniz), bileşenler yeniden oluşturulduğunda etkin yolların güncelleştirilmesi 8-10 dakika sürebilir.

  4. Daldaki fiziksel bağlantılarla ilgili bilgi eklemek için Bağlantılar ' ı seçin. Bir sanal WAN iş ortağı CPE cihazınız varsa, bu bilgilerin, sistemlerinden şube bilgileri karşıya yükleme işleminin bir parçası olarak Azure ile alınıp döndürülmediğini görmek için bunlarla iletişim kurun.

    Bağlantının ve sağlayıcı adlarının belirtilmesi, hub 'ın bir parçası olarak, sonunda oluşturulabilen ağ geçitleri sayısını ayırt etmenize olanak tanır. BGP ve otonom sistem numarası (ASN), kuruluşunuz içinde benzersiz olmalıdır. BGP, hem Azure VMware çözümünün hem de şirket içi sunucuların, yollarını tünelden tanıtmasını sağlar. Devre dışı bırakılırsa, tanıtılmak gereken alt ağların el ile saklanması gerekir. Alt ağlar kaçırılmazsa, HCX hizmet kafesi oluşturamamış olur.

    Önemli

    Azure, varsayılan olarak, Azure VPN ağ geçidinde Azure BGP IP adresi olarak otomatik olarak GatewaySubnet önek aralığından özel bir IP adresi atar. Şirket içi VPN cihazlarınız, BGP IP 'si olarak bir APIPA adresi (169.254.0.1-169.254.255.254) kullanırken özel Azure APIPA BGP adresi gereklidir. Karşılık gelen yerel ağ geçidi kaynağı (Şirket içi ağ) BGP eşi IP 'si olarak bir APIPA adresine sahipse Azure VPN Gateway özel APIPA adresini seçer. Yerel ağ geçidi, normal bir IP adresi (APIPA değil) kullanıyorsa Azure VPN Gateway, GatewaySubnet aralığından özel IP adresine döndürülür.

    Bağlantılar sekmesi açık olan VPN sitesi oluştur sayfasını gösteren ekran görüntüsü.

  5. Gözden geçir ve oluştur’u seçin.

  6. İstediğiniz sanal hub 'a gidin ve VPN sitenizi hub 'a bağlamak için hub ilişkilendirmesi seçimini kaldırın.

    ekran görüntüsü bu hub 'a Bağlan gösterir.

Seçim İlke tabanlı VPN siteden siteye tüneller oluşturma

Önemli

Bu, isteğe bağlı bir adımdır ve yalnızca ilke tabanlı VPN 'Ler için geçerlidir.

İlke tabanlı VPN kurulumları , hub aralıkları dahil olmak üzere Şirket Içi ve Azure VMware Çözüm ağlarının belirtilmesini gerektirir. Bu aralıklar, ilke tabanlı VPN tüneli şirket içi uç noktasının şifreleme etki alanını belirtir. Azure VMware Çözüm tarafı yalnızca ilke tabanlı trafik Seçicisi göstergesinin etkinleştirilmesini gerektirir.

  1. Azure portal, sanal WAN hub sitenize gidin ve bağlantı altında VPN (siteden siteye) öğesini seçin.

  2. Özel bir IPSec ilkesi kurmak istediğiniz VPN sitesini seçin.

    Müşteri IPSec ilkelerini ayarlamak için mevcut VPN sitelerini gösteren ekran görüntüsü.

  3. VPN sitenizin adını seçin, en sağdaki daha fazla (...) seçeneğini belirleyin ve ardından VPN bağlantısını Düzenle' yi seçin.

    Mevcut bir VPN sitesinin bağlam menüsünü gösteren ekran görüntüsü.

    • Internet Protokolü güvenliği (IPSec), özel' i seçin.

    • İlke tabanlı trafik seçiciyi kullanın, Etkinleştir ' i seçin.

    • Ike Aşama 1 ve Ike aşama 2 (IPSec) ayrıntılarını belirtin.

  4. IPSec ayarını varsayılan olarak özel olarak değiştirin ve IPSec ilkesini özelleştirin. Sonra Kaydet'i seçin.

    Mevcut VPN sitelerini gösteren ekran görüntüsü.

    İlke tabanlı şifreleme etki alanının parçası olan trafik seçicileri veya alt ağlarınız şunlardır:

    • Sanal WAN hub 'ı /24

    • Azure VMware çözümü özel bulutu /22

    • Bağlı Azure sanal ağı (varsa)

VPN sitenizi hub 'a Bağlan

  1. vpn sitenizin adını seçin ve ardından Bağlan vpn siteleri' ni seçin.

  2. Önceden paylaşılan anahtar alanına, daha önce şirket içi uç nokta için tanımlanan anahtarı girin.

    İpucu

    Daha önce tanımlı bir anahtarınız yoksa, bu alanı boş bırakabilirsiniz. Sizin için otomatik olarak bir anahtar oluşturulur.

    Önceden paylaşılan anahtar ve ilişkili ayarlarla ilgili sanal HUB için bağlı siteler bölmesini gösteren ekran görüntüsü.

  3. Hub 'da bir güvenlik duvarı dağıtıyorsanız ve sonraki atlamada, varsayılan yolu yay seçeneğini Etkinleştir olarak ayarlayın.

    Etkinleştirildiğinde, sanal WAN hub 'ı yalnızca Hub 'da bir güvenlik duvarı dağıtıldığında ya da başka bir bağlı sitede Zorlamalı tünel etkin olduğunda bir bağlantı olarak zaten öğrenildiği zaman bir bağlantıyı yayar. Varsayılan yol, sanal WAN hub 'ında değil.

  4. Bağlan’ı seçin. Birkaç dakika sonra, site bağlantı ve bağlantı durumunu gösterir.

    Siteden siteye bağlantı ve bağlantı durumunu gösteren ekran görüntüsü.

    Bağlantı durumu: VPN sitesini Azure hub 'ının VPN Gateway 'e bağlayan bağlantı için Azure kaynağının durumu. Bu denetim düzlemi işlemi başarılı olduktan sonra, Azure VPN ağ geçidi ve şirket içi VPN cihazı bağlantı kurar.

    Bağlantı durumu: Merkez ve VPN sitesindeki Azure 'un VPN ağ geçidi arasındaki gerçek bağlantı (veri yolu) durumu. Aşağıdaki durumlardan herhangi birini gösterebilir:

    • Bilinmiyor: genellikle arka uç sistemleri başka bir duruma geçişe çalışıyorsa görülür.
    • Bağlanılıyor: Azure VPN Gateway, gerçek ŞIRKET içi VPN sitesine ulaşmaya çalışıyor.
    • Bağlandı: Azure VPN ağ geçidi ve ŞIRKET içi VPN sitesi arasında bağlantı kuruldu.
    • Bağlantısı kesik: genellikle herhangi bir nedenle bağlantısı kesildiyse (Şirket Içi veya Azure 'da) görülür

  5. VPN yapılandırma dosyasını indirin ve şirket içi uç noktaya uygulayın.

    1. VPN (siteden siteye) sayfasında, en üstteki, VPN yapılandırmasını indir' i seçin. Azure, ' Microsoft-Network- [ Location ' kaynak grubunda ] konum WAN 'ın konumu olan bir depolama hesabı oluşturur. Yapılandırmayı VPN cihazlarınıza uyguladıktan sonra bu depolama hesabını silebilirsiniz.

    2. Oluşturulduktan sonra, indirmek için bağlantıyı seçin.

    3. Yapılandırmayı şirket içi VPN cihazınıza uygulayın.

    Yapılandırma dosyası hakkında daha fazla bilgi için bkz. VPN cihazı yapılandırma dosyası hakkında.

  6. Sanal WAN hub 'ında Azure VMware çözümü ExpressRoute 'a yama yapın.

    Önemli

    Platforma yama yapabilmeniz için önce bir özel bulutun oluşturulması gerekir.

    1. Bulutta Azure portal özel buluta Azure VMware Çözümü gidin. Bağlantı > > ExpressRoute'u Yönet'i ve ardından + Yetkilendirme anahtarı isteği'ni seçin.

      ExpressRoute yetkilendirme anahtarı isteğinde bulundurarak ekran görüntüsü.

    2. Bunun için bir ad girin ve Oluştur'a seçin.

      Anahtarın oluşturularak 30 saniye kadar sürebilir. Oluşturulduktan sonra, yeni anahtar özel bulut için yetkilendirme anahtarları listesinde görünür.

      ExpressRoute kimlik doğrulama anahtarını Global Reach ekran görüntüsü.

    3. Yetkilendirme anahtarını ve ExpressRoute kimliğini kopyalayın. Eşlemeyi tamamlamak için onlara ihtiyacınız olacak. Yetkilendirme anahtarı bir süre sonra kaybolur, bu nedenle göründüğü anda kopyalayın.

  7. Azure VMware çözümünü ve VPN ağ geçidini sanal WAN hub 'ında birbirine bağlayın. Önceki adımda yetkilendirme anahtarını ve ExpressRoute KIMLIĞINI (eş devre URI 'SI) kullanacaksınız.

    1. ExpressRoute ağ geçidinizi seçip kullan Yetkilendirme anahtarı' nı seçin.

      Kullan yetkilendirme anahtarı seçiliyken özel bulutun ExpressRoute sayfasının ekran görüntüsü.

    2. Yetkilendirme anahtarını Yetkilendirme anahtarı alanına yapıştırın.

    3. ExpressRoute KIMLIĞINI eş devre URI 'si alanına yapıştırın.

    4. Bu ExpressRoute bağlantı hattıyla hub'ı otomatik olarak ilişkilendirme onay kutusunu seçin.

    5. Bağlantıyı kurmak için Ekle'yi seçin.

  8. NSX-T segmenti oluşturarak ve ağ üzerinde bir VM oluşturarak bağlantınızı test edin. Hem şirket içi hem de şirket içi uç Azure VMware Çözümü ping at.

    Not

    ExpressRoute bağlantı hattınız arkasındaki bir istemcinin bağlantısını test etmek için yaklaşık 5 dakika bekleyin. Örneğin, daha önce oluşturduğunuz sanal ağ içinde bir VM.