ExpressRoute Microsoft eşlemesi üzerinde siteden siteye VPN yapılandırmaConfigure a site-to-site VPN over ExpressRoute Microsoft peering

Bu makalede, bir ExpressRoute özel bağlantı üzerinden şirket içi ağınız ile Azure, sanal ağlar (Vnet'ler) arasında güvenli şifreli bağlantı yapılandırmanıza yardımcı olur.This article helps you configure secure encrypted connectivity between your on-premises network and your Azure virtual networks (VNets) over an ExpressRoute private connection. Microsoft eşlemesini seçilen şirket içi ağlarınız ve Azure sanal ağları arasında siteden siteye IPSec/IKE VPN tüneli oluşturmak için kullanabilirsiniz.You can use Microsoft peering to establish a site-to-site IPsec/IKE VPN tunnel between your selected on-premises networks and Azure VNets. ExpressRoute üzerinden güvenli bir tünel yapılandırma, gizlilik, yürütmeyi, kimlik doğrulaması ve bütünlük ile veri değişimi için sağlar.Configuring a secure tunnel over ExpressRoute allows for data exchange with confidentiality, anti-replay, authenticity, and integrity.

Not

Siteden siteye VPN ayarlamaya, eşleme Microsoft ayarladığınızda VPN ağ geçidi ve VPN çıkışı için ücretlendirilir.When you set up site-to-site VPN over Microsoft peering, you are charged for the VPN gateway and VPN egress. Daha fazla bilgi için VPN Gateway fiyatlandırması.For more information, see VPN Gateway pricing.

Bu makaledeki adımlar ve Örnekler Azure PowerShell az modules kullanır.The steps and examples in this article use Azure PowerShell Az modules. Az modules 'i bilgisayarınıza yerel olarak yüklemek için bkz. Azure PowerShell Install.To install the Az modules locally on your computer, see Install Azure PowerShell. Yeni az modülle ilgili daha fazla bilgi için bkz. new Azure PowerShell konusuna giriş az Module.To learn more about the new Az module, see Introducing the new Azure PowerShell Az module. PowerShell cmdlet 'leri sıklıkla güncelleştirilir.PowerShell cmdlets are updated frequently. En son sürümü çalıştırmıyorsanız, yönergelerde belirtilen değerler başarısız olabilir.If you are not running the latest version, the values specified in the instructions may fail. Sisteminizde yüklü PowerShell sürümlerini bulmak için Get-Module -ListAvailable Az cmdlet 'ini kullanın.To find the installed versions of PowerShell on your system, use the Get-Module -ListAvailable Az cmdlet.

MimarisiArchitecture

bağlantıya genel bakış

Yüksek kullanılabilirlik ve yedeklilik için bir ExpressRoute bağlantı hattı iki MSEE PE çiftleri birden fazla tünel yapılandırabilir ve tüneller arasında yük dengelemeyi etkinleştirmek.For high availability and redundancy, you can configure multiple tunnels over the two MSEE-PE pairs of a ExpressRoute circuit and enable load balancing between the tunnels.

yüksek kullanılabilirlik seçenekleri

Microsoft eşlemesi üzerinden VPN tünelleri, VPN ağ geçidi kullanarak veya Azure Marketi'nden bir uygun ağ sanal Gereci (NVA) kullanılabilir kullanarak sonlandırılabilir.VPN tunnels over Microsoft peering can be terminated either using VPN gateway, or using an appropriate Network Virtual Appliance (NVA) available through Azure Marketplace. Statik veya dinamik olarak şifrelenmiş bir tünel temel alınan Microsoft eşlemesi için rota exchange sokmadan yolları.You can exchange routes statically or dynamically over the encrypted tunnels without exposing the route exchange to the underlying Microsoft peering. Bu makaledeki örneklerde, dinamik olarak şifrelenmiş bir tünel önekleri değişimi için BGP (Microsoft eşlemesi oluşturmak için kullanılan BGP oturumu farklı) kullanılır.In the examples in this article, BGP (different from the BGP session used to create the Microsoft peering) is used to dynamically exchange prefixes over the encrypted tunnels.

Önemli

Şirket içi tarafı için genellikle Microsoft eşlemesi üzerinde DMZ sonlandırılır ve özel eşdüzey hizmet sağlama Çekirdek Ağ bölgenin sonlandırılır.For the on-premises side, typically Microsoft peering is terminated on the DMZ and private peering is terminated on the core network zone. Güvenlik duvarları kullanarak iki bölgeleri ayrılacaktır.The two zones would be segregated using firewalls. Microsoft yalnızca ExpressRoute üzerinden güvenli tüneli etkinleştirmek için eşleme yapılandırıyorsanız, yalnızca Microsoft eşlemesi aracılığıyla tanıtılan ilgi genel IP'ler aracılığıyla filtre unutmayın.If you are configuring Microsoft peering exclusively for enabling secure tunneling over ExpressRoute, remember to filter through only the public IPs of interest that are getting advertised via Microsoft peering.

İş akışıWorkflow

  1. Microsoft, ExpressRoute bağlantı hattı için eşleme yapılandırın.Configure Microsoft peering for your ExpressRoute circuit.
  2. Seçili Azure bölgesel genel Microsoft eşlemesi aracılığıyla şirket içi ağınıza öneklerini.Advertise selected Azure regional public prefixes to your on-premises network via Microsoft peering.
  3. Bir VPN ağ geçidi yapılandırma ve IPSec tünelleriConfigure a VPN gateway and establish IPsec tunnels
  4. Şirket içi VPN cihazı yapılandırma.Configure the on-premises VPN device.
  5. Siteden siteye IPSec/IKE bağlantı oluşturun.Create the site-to-site IPsec/IKE connection.
  6. (İsteğe bağlı) Güvenlik duvarları ve filtreleme, şirket içi VPN cihazında yapılandırın.(Optional) Configure firewalls/filtering on the on-premises VPN device.
  7. Test ve IPSec iletişimi bir ExpressRoute devresi üzerinden doğrulayın.Test and validate the IPsec communication over the ExpressRoute circuit.

1. Microsoft eşlemesini yapılandırma1. Configure Microsoft peering

ExpressRoute üzerinden bir siteden siteye VPN bağlantısı yapılandırmak için ExpressRoute Microsoft eşlemesi yararlanarak gerekir.To configure a site-to-site VPN connection over ExpressRoute, you must leverage ExpressRoute Microsoft peering.

Bağlantı hattı ve Microsoft eşleme yapılandırıldıktan sonra kolayca kullanarak görüntüleyebileceğiniz genel bakış Azure portalında sayfası.Once you have configured your circuit and Microsoft peering, you can easily view it using the Overview page in the Azure portal.

bağlantı hattı

2. yol filtrelerini yapılandırma2. Configure route filters

Rota filtresi, ExpressRoute bağlantı hattınızın Microsoft eşlemesi üzerinden kullanmak istediğiniz hizmetleri tanımlamanızı sağlar.A route filter lets you identify services you want to consume through your ExpressRoute circuit's Microsoft peering. Bu aslında tüm BGP topluluk değerlerinin izin verilenler listesidir.It is essentially an allow list of all the BGP community values.

Rota filtresi

Bu örnekte, yalnızca içinde dağıtımıdır Azure Batı ABD 2 bölge.In this example, the deployment is only in the Azure West US 2 region. BGP topluluk değeri olan yalnızca tanıtım Azure Batı ABD 2, bölgesel öneklerinin izin vermek için bir rota filtresi kuralının eklenen 12076:51026.A route filter rule is added to allow only the advertisement of Azure West US 2 regional prefixes, which has the BGP community value 12076:51026. Seçerek izin vermek istediğiniz bölgesel ön ekleri belirttiğiniz Yönet kural.You specify the regional prefixes that you want to allow by selecting Manage rule.

Rota filtresi içinde de rota filtresi uygulandığı ExpressRoute bağlantı hatları seçmeniz gerekir.Within the route filter, you also need to choose the ExpressRoute circuits for which the route filter applies. ExpressRoute bağlantı hatları seçerek seçebileceğiniz devreler.You can choose the ExpressRoute circuits by selecting Add circuit. Önceki resimde, rota filtresi ExpressRoute bağlantı hattına örnekle ilişkilidir.In the previous figure, the route filter is associated to the example ExpressRoute circuit.

2.1 rota filtresi yapılandırma2.1 Configure the route filter

Bir rota filtresinde yapılandırın.Configure a route filter. Adımlar için bkz: Microsoft eşlemesi için rota filtreleri yapılandırma.For steps, see Configure route filters for Microsoft peering.

2.2 BGP yolları doğrulayın2.2 Verify BGP routes

Başarılı bir şekilde Microsoft eşleme ExpressRoute bağlantı hattı oluşturduğunuz ve bir rota filtresinde devre ile ilişkili sonra BGP yolları Msee'ler ile eşleme PE cihazlarda Msee alınan doğrulayabilirsiniz.Once you have successfully created Microsoft peering over your ExpressRoute circuit and associated a route filter with the circuit, you can verify the BGP routes received from MSEEs on the PE devices that are peering with the MSEEs. Doğrulama komutu, PE cihazlarınızın işletim sistemine bağlı olarak değişir.The verification command varies, depending on the operating system of your PE devices.

Cisco örnekleriCisco examples

Bu örnek, bir Cisco IOS-XE komutunu kullanır.This example uses a Cisco IOS-XE command. Örnekte, bir sanal Yönlendirme ve (VRF) örneği iletme eşleme trafiğini yalıtmak için kullanılabilir.In the example, a virtual routing and forwarding (VRF) instance is used to isolate the peering traffic.

show ip bgp vpnv4 vrf 10 summary

Aşağıdaki kısmi çıktıda 68 ön eklerin *. 243.229.34, ASN 12076 (MSEE) ile birlikte alındığını gösterir:The following partial output shows that 68 prefixes were received from the neighbor *.243.229.34 with the ASN 12076 (MSEE):

...

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
X.243.229.34    4        12076   17671   17650    25228    0    0 1w4d           68

Komşu tarafından alınan önekleri listesini görmek için aşağıdaki örneği kullanın:To see the list of prefixes received from the neighbor, use the following example:

sh ip bgp vpnv4 vrf 10 neighbors X.243.229.34 received-routes

Ön ekleri doğru kümesini aldığını doğrulamak için çapraz-doğrulayabilirsiniz.To confirm that you are receiving the correct set of prefixes, you can cross-verify. Aşağıdaki Azure PowerShell komut çıktısı, Microsoft hizmetlerinin her biri için ve her bir Azure bölgesi için eşleme aracılığıyla tanıtılan ön listeler:The following Azure PowerShell command output lists the prefixes advertised via Microsoft peering for each of the services and for each of the Azure region:

Get-AzBgpServiceCommunity

3. VPN ağ geçidini ve IPSec tünellerini yapılandırma3. Configure the VPN gateway and IPsec tunnels

Bu bölümde, IPSec VPN tünelleri, Azure VPN ağ geçidi ile şirket içi VPN cihazınız arasında oluşturulur.In this section, IPsec VPN tunnels are created between the Azure VPN gateway and the on-premises VPN device. Cisco bulut hizmeti yönlendirici (CSR1000) VPN cihazlarının örnekler kullanır.The examples use Cisco Cloud Service Router (CSR1000) VPN devices.

Aşağıdaki diyagramda, IPSec VPN tünelleri şirket içi VPN cihazı 1 ve Azure VPN ağ geçidi örneği çifti arasında kurulan gösterilmektedir.The following diagram shows the IPsec VPN tunnels established between on-premises VPN device 1, and the Azure VPN gateway instance pair. İki IPSec VPN tüneli 2 şirket içi VPN cihazınız arasında kurulan ve Azure VPN ağ geçidi örneği çifti diyagramda gösterildiği değildir ve yapılandırma ayrıntılarını listelenmez.The two IPsec VPN tunnels established between the on-premises VPN device 2 and the Azure VPN gateway instance pair isn't illustrated in the diagram, and the configuration details are not listed. Ancak, ek VPN tünelleri sahip yüksek kullanılabilirliği artırır.However, having additional VPN tunnels improves high availability.

VPN tünelleri

IPSec tünel çifti özel ağ yollarını gönderip almak bir eBGP oturumu kurulur.Over the IPsec tunnel pair, an eBGP session is established to exchange private network routes. EBGP oturum IPSec tünel çifti oluşturulduğunda aşağıdaki diyagramda gösterilmiştir:The following diagram shows the eBGP session established over the IPsec tunnel pair:

Tünel çifti üzerinden eBGP oturumları

Örnek ağ bulunabilen genel bakış Aşağıdaki diyagramda gösterilmiştir:The following diagram shows the abstracted overview of the example network:

Örnek ağ

Azure Resource Manager şablonu örnekleri hakkındaAbout the Azure Resource Manager template examples

Örneklerde, VPN ağ geçidi ve IPSec tüneli sonlandırmalar bir Azure Resource Manager şablonu kullanarak yapılandırılır.In the examples, the VPN gateway and the IPsec tunnel terminations are configured using an Azure Resource Manager template. Resource Manager şablonlarını kullanarak yeni ya da Resource Manager şablonu temel anlamak için bkz: yapısını ve Azure Resource Manager şablonları söz dizimini anlamak.If you are new to using Resource Manager templates, or to understand the Resource Manager template basics, see Understand the structure and syntax of Azure Resource Manager templates. Bu bölümde şablonda bir sıfırdan oluşturur Azure ortamı (VNet).The template in this section creates a greenfield Azure environment (VNet). Bununla birlikte, mevcut bir sanal ağ varsa, bu şablonda başvurabilirsiniz.However, if you have an existing VNet, you can reference it in the template. VPN ağ geçidi IPSec/IKE siteden siteye yapılandırmalarla ilgili bilgi sahibi değilseniz bkz bir siteden siteye bağlantı oluşturma.If you are not familiar with VPN gateway IPsec/IKE site-to-site configurations, see Create a site-to-site connection.

Not

Bu yapılandırmayı oluşturmak için Azure Resource Manager şablonlarını kullanma gerekmez.You do not need to use Azure Resource Manager templates in order to create this configuration. Azure portalı veya PowerShell kullanarak bu yapılandırmayı oluşturabilirsiniz.You can create this configuration using the Azure portal, or PowerShell.

3.1 değişkenleri bildirin.3.1 Declare the variables

Bu örnekte, değişken bildirimlerini örnek ağa karşılık gelir.In this example, the variable declarations correspond to the example network. Değişkenleri bildirirken Bu bölümde, ortamınızı yansıtacak şekilde değiştirin.When declaring variables, modify this section to reflect your environment.

  • Değişken localAddressPrefix IPSec tünelleri sonlandırmak için şirket içi IP adreslerinden oluşan bir dizidir.The variable localAddressPrefix is an array of on-premises IP addresses to terminate the IPsec tunnels.
  • GatewaySku VPN aktarım hızını belirler.The gatewaySku determines the VPN throughput. GatewaySku ve vpnType hakkında daha fazla bilgi için bkz. VPN Gateway yapılandırma ayarları.For more information about gatewaySku and vpnType, see VPN Gateway configuration settings. Fiyatlandırma için bkz VPN Gateway fiyatlandırması.For pricing, see VPN Gateway pricing.
  • Ayarlama vpnType için RouteBased.Set the vpnType to RouteBased.
"variables": {
  "virtualNetworkName": "SecureVNet",       // Name of the Azure VNet
  "azureVNetAddressPrefix": "10.2.0.0/24",  // Address space assigned to the VNet
  "subnetName": "Tenant",                   // subnet name in which tenants exists
  "subnetPrefix": "10.2.0.0/25",            // address space of the tenant subnet
  "gatewaySubnetPrefix": "10.2.0.224/27",   // address space of the gateway subnet
  "localGatewayName": "localGW1",           // name of remote gateway (on-premises)
  "localGatewayIpAddress": "X.243.229.110", // public IP address of the on-premises VPN device
  "localAddressPrefix": [
    "172.16.0.1/32",                        // termination of IPsec tunnel-1 on-premises 
    "172.16.0.2/32"                         // termination of IPsec tunnel-2 on-premises 
  ],
  "gatewayPublicIPName1": "vpnGwVIP1",    // Public address name of the first VPN gateway instance
  "gatewayPublicIPName2": "vpnGwVIP2",    // Public address name of the second VPN gateway instance 
  "gatewayName": "vpnGw",                 // Name of the Azure VPN gateway
  "gatewaySku": "VpnGw1",                 // Azure VPN gateway SKU
  "vpnType": "RouteBased",                // type of VPN gateway
  "sharedKey": "string",                  // shared secret needs to match with on-premises configuration
  "asnVpnGateway": 65000,                 // BGP Autonomous System number assigned to the VPN Gateway 
  "asnRemote": 65010,                     // BGP Autonmous Syste number assigned to the on-premises device
  "bgpPeeringAddress": "172.16.0.3",      // IP address of the remote BGP peer on-premises
  "connectionName": "vpn2local1",
  "vnetID": "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]",
  "gatewaySubnetRef": "[concat(variables('vnetID'),'/subnets/','GatewaySubnet')]",
  "subnetRef": "[concat(variables('vnetID'),'/subnets/',variables('subnetName'))]",
  "api-version": "2017-06-01"
},

3.2 sanal ağ (VNet) oluşturma3.2 Create virtual network (VNet)

Mevcut bir Vnet'i VPN tünellerinin ile ilişkilendirirseniz, bu adımı atlayabilirsiniz.If you are associating an existing VNet with the VPN tunnels, you can skip this step.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/virtualNetworks",
  "name": "[variables('virtualNetworkName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "addressSpace": {
      "addressPrefixes": [
        "[variables('azureVNetAddressPrefix')]"
      ]
    },
    "subnets": [
      {
        "name": "[variables('subnetName')]",
        "properties": {
          "addressPrefix": "[variables('subnetPrefix')]"
        }
      },
      {
        "name": "GatewaySubnet",
        "properties": {
          "addressPrefix": "[variables('gatewaySubnetPrefix')]"
        }
      }
    ]
  },
  "comments": "Create a Virtual Network with Subnet1 and Gatewaysubnet"
},

3.3 VPN ağ geçidi örneklerine genel IP adresleri atayın.3.3 Assign public IP addresses to VPN gateway instances

Her bir VPN ağ geçidi örneği için genel bir IP adresi atayın.Assign a public IP address for each instance of a VPN gateway.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName1')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the first instance of the VPN gateway"
  },
  {
    "apiVersion": "[variables('api-version')]",
    "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName2')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the second instance of the VPN gateway"
  },

3.4 şirket içi VPN tünel Sonlandırması (yerel ağ geçidi) belirtin3.4 Specify the on-premises VPN tunnel termination (local network gateway)

Şirket içi VPN cihazları olarak ifade edilir yerel ağ geçidi.The on-premises VPN devices are referred to as the local network gateway. Aşağıdaki json kod parçacığında, ayrıca uzak BGP eş ayrıntılarını belirtir:The following json snippet also specifies remote BGP peer details:

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/localNetworkGateways",
  "name": "[variables('localGatewayName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "localNetworkAddressSpace": {
      "addressPrefixes": "[variables('localAddressPrefix')]"
    },
    "gatewayIpAddress": "[variables('localGatewayIpAddress')]",
    "bgpSettings": {
      "asn": "[variables('asnRemote')]",
      "bgpPeeringAddress": "[variables('bgpPeeringAddress')]",
      "peerWeight": 0
    }
  },
  "comments": "Local Network Gateway (referred to your on-premises location) with IP address of remote tunnel peering and IP address of remote BGP peer"
},

3.5 VPN ağ geçidi oluşturma3.5 Create the VPN gateway

Şablonu'nun bu bölümünde, VPN ağ geçidi bir aktif-aktif yapılandırma için gerekli ayarlarla yapılandırır.This section of the template configures the VPN gateway with the required settings for an active-active configuration. Aşağıdaki gereksinimleri göz önünde bulundurun:Keep in mind the following requirements:

  • VPN ağ geçidi ile oluşturma bir "RouteBased" vpntype değeri.Create the VPN gateway with a "RouteBased" VpnType. VPN ağ geçidi ve şirket VPN arasında BGP yönlendirme etkinleştirmek istiyorsanız, bu ayar zorunludur.This setting is mandatory if you want to enable the BGP routing between the VPN gateway, and the VPN on-premises.
  • Etkin-etkin modda iki VPN ağ geçidi örneklerini ve belirli şirket içi cihaz arasında VPN tünelleri oluşturmak için "activeActive" parametrenin ayarlanmış true Resource Manager şablonunda .To establish VPN tunnels between the two instances of the VPN gateway and a given on-premises device in active-active mode, the "activeActive" parameter is set to true in the Resource Manager template. Yüksek oranda kullanılabilir bir VPN ağ geçitleri hakkında daha fazla bilgi için bkz: yüksek oranda kullanılabilir bir VPN ağ geçidi bağlantısı.To understand more about highly available VPN gateways, see Highly available VPN gateway connectivity.
  • EBGP oturumları arasında VPN tünellerinin yapılandırmak için iki farklı Asn'ler iki tarafında belirtmeniz gerekir.To configure eBGP sessions between the VPN tunnels, you must specify two different ASNs on either side. Özel bir ASN numaraları belirtmek için daha iyidir.It is preferable to specify private ASN numbers. Daha fazla bilgi için genel bakış, BGP ve Azure VPN ağ geçitleri.For more information, see Overview of BGP and Azure VPN gateways.
{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/virtualNetworkGateways",
"name": "[variables('gatewayName')]",
"location": "[resourceGroup().location]",
"dependsOn": [
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName1'))]",
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName2'))]",
  "[concat('Microsoft.Network/virtualNetworks/', variables('virtualNetworkName'))]"
],
"properties": {
  "ipConfigurations": [
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName1'))]"
        }
      },
      "name": "vnetGtwConfig1"
    },
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName2'))]"
        }
      },
          "name": "vnetGtwConfig2"
        }
      ],
      "sku": {
        "name": "[variables('gatewaySku')]",
        "tier": "[variables('gatewaySku')]"
      },
      "gatewayType": "Vpn",
      "vpnType": "[variables('vpnType')]",
      "enableBgp": true,
      "activeActive": true,
      "bgpSettings": {
        "asn": "[variables('asnVpnGateway')]"
      }
    },
    "comments": "VPN Gateway in active-active configuration with BGP support"
  },

3.6 IPSec tünelleri3.6 Establish the IPsec tunnels

Son eylem komut, Azure VPN ağ geçidi ile şirket içi VPN cihazınız arasında IPSec tünelleri oluşturur.The final action of the script creates IPsec tunnels between the Azure VPN gateway and the on-premises VPN device.

{
  "apiVersion": "[variables('api-version')]",
  "name": "[variables('connectionName')]",
  "type": "Microsoft.Network/connections",
  "location": "[resourceGroup().location]",
  "dependsOn": [
    "[concat('Microsoft.Network/virtualNetworkGateways/', variables('gatewayName'))]",
    "[concat('Microsoft.Network/localNetworkGateways/', variables('localGatewayName'))]"
  ],
  "properties": {
    "virtualNetworkGateway1": {
      "id": "[resourceId('Microsoft.Network/virtualNetworkGateways', variables('gatewayName'))]"
    },
    "localNetworkGateway2": {
      "id": "[resourceId('Microsoft.Network/localNetworkGateways', variables('localGatewayName'))]"
    },
    "connectionType": "IPsec",
    "routingWeight": 0,
    "sharedKey": "[variables('sharedKey')]",
    "enableBGP": "true"
  },
  "comments": "Create a Connection type site-to-site (IPsec) between the Azure VPN Gateway and the VPN device on-premises"
  }

4. Şirket içi VPN cihazını yapılandırma4. Configure the on-premises VPN device

Azure VPN ağ geçidi, farklı satıcılardan birçok VPN cihazları ile uyumludur.The Azure VPN gateway is compatible with many VPN devices from different vendors. Yapılandırma bilgilerini ve VPN ağ geçidi ile çalışacak şekilde doğrulanmış cihazlar için bkz. VPN cihazları hakkında.For configuration information and devices that have been validated to work with VPN gateway, see About VPN devices.

VPN Cihazınızı yapılandırırken aşağıdaki öğeler gerekir:When configuring your VPN device, you need the following items:

  • Paylaşılan bir anahtar.A shared key. Bu, siteden siteye VPN bağlantınızı oluştururken belirttiğiniz paylaşılan anahtarın aynısıdır.This is the same shared key that you specify when creating your site-to-site VPN connection. Örneklerde temel bir paylaşılan anahtar kullanılır.The examples use a basic shared key. Kullanmak için daha karmaşık bir anahtar oluşturmanız önerilir.We recommend that you generate a more complex key to use.
  • VPN ağ geçidinizin genel IP adresi.The Public IP address of your VPN gateway. Azure Portal, PowerShell veya CLI kullanarak genel IP adresini görüntüleyebilirsiniz.You can view the public IP address by using the Azure portal, PowerShell, or CLI. Azure portalını kullanarak VPN ağ geçidinizin genel IP adresini bulmak için sanal ağ geçitleri için gidin ve ağ geçidinizin adına tıklayın.To find the Public IP address of your VPN gateway using the Azure portal, navigate to Virtual network gateways, then click the name of your gateway.

Genellikle eBGP eşleri (genellikle bir WAN bağlantısı üzerinden) doğrudan bağlanır.Typically eBGP peers are directly connected (often over a WAN connection). Ancak, ExpressRoute Microsoft eşlemesi aracılığıyla IPSec VPN tüneli üzerinden eBGP yapılandırmakta olduğunuz olduğunda birden fazla Yönlendirme etki alanları eBGP eşleri arasında.However, when you are configuring eBGP over IPsec VPN tunnels via ExpressRoute Microsoft peering, there are multiple routing domains between the eBGP peers. Kullanım ebgp multihop değil ikisi arasındaki eBGP komşu ilişki kurmak için komut-eşleri'doğrudan bağlanan.Use the ebgp-multihop command to establish the eBGP neighbor relationship between the two not-directly connected peers. Ebgp-multihop komut izleyen tamsayıyı BGP paketlerinde TTL değeri belirtir.The integer that follows ebgp-multihop command specifies the TTL value in the BGP packets. Komut maksimum yolları eibgp 2 yük iki BGP yolları arasındaki trafiği Dengeleme etkinleştirir.The command maximum-paths eibgp 2 enables load balancing of traffic between the two BGP paths.

Cisco CSR1000 örneğiCisco CSR1000 example

Aşağıdaki örnek, bir Hyper-V sanal makinesinde şirket içi VPN cihazı olarak Cisco CSR1000 yapılandırmasını gösterir:The following example shows the configuration for Cisco CSR1000 in a Hyper-V virtual machine as the on-premises VPN device:

!
crypto ikev2 proposal az-PROPOSAL
 encryption aes-cbc-256 aes-cbc-128 3des
 integrity sha1
 group 2
!
crypto ikev2 policy az-POLICY
 proposal az-PROPOSAL
!
crypto ikev2 keyring key-peer1
 peer azvpn1
  address 52.175.253.112
  pre-shared-key secret*1234
 !
!
crypto ikev2 keyring key-peer2
 peer azvpn2
  address 52.175.250.191
  pre-shared-key secret*1234
 !
!
!
crypto ikev2 profile az-PROFILE1
 match address local interface GigabitEthernet1
 match identity remote address 52.175.253.112 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer1
!
crypto ikev2 profile az-PROFILE2
 match address local interface GigabitEthernet1
 match identity remote address 52.175.250.191 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer2
!
crypto ikev2 dpd 10 2 on-demand
!
!
crypto ipsec transform-set az-IPSEC-PROPOSAL-SET esp-aes 256 esp-sha-hmac
 mode tunnel
!
crypto ipsec profile az-VTI1
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE1
!
crypto ipsec profile az-VTI2
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE2
!
!
interface Loopback0
 ip address 172.16.0.3 255.255.255.255
!
interface Tunnel0
 ip address 172.16.0.1 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.253.112
 tunnel protection ipsec profile az-VTI1
!
interface Tunnel1
 ip address 172.16.0.2 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.250.191
 tunnel protection ipsec profile az-VTI2
!
interface GigabitEthernet1
 description External interface
 ip address x.243.229.110 255.255.255.252
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet2
 ip address 10.0.0.1 255.255.255.0
 negotiation auto
 no mop enabled
 no mop sysid
!
router bgp 65010
 bgp router-id interface Loopback0
 bgp log-neighbor-changes
 network 10.0.0.0 mask 255.255.255.0
 network 10.1.10.0 mask 255.255.255.128
 neighbor 10.2.0.228 remote-as 65000
 neighbor 10.2.0.228 ebgp-multihop 5
 neighbor 10.2.0.228 update-source Loopback0
 neighbor 10.2.0.228 soft-reconfiguration inbound
 neighbor 10.2.0.228 filter-list 10 out
 neighbor 10.2.0.229 remote-as 65000    
 neighbor 10.2.0.229 ebgp-multihop 5
 neighbor 10.2.0.229 update-source Loopback0
 neighbor 10.2.0.229 soft-reconfiguration inbound
 maximum-paths eibgp 2
!
ip route 0.0.0.0 0.0.0.0 10.1.10.1
ip route 10.2.0.228 255.255.255.255 Tunnel0
ip route 10.2.0.229 255.255.255.255 Tunnel1
!

5. VPN cihaz filtrelemeyi ve güvenlik duvarlarını yapılandırma (isteğe bağlı)5. Configure VPN device filtering and firewalls (optional)

Güvenlik duvarını ve gereksinimlerinize göre filtrelemeyi yapılandırın.Configure your firewall and filtering according to your requirements.

6. IPSec tüneli test edin ve doğrulayın6. Test and validate the IPsec tunnel

IPSec tünel durumu Azure VPN ağ geçidi Powershell komutlarıyla doğrulanabilir:The status of IPsec tunnels can be verified on the Azure VPN gateway by Powershell commands:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object  ConnectionStatus,EgressBytesTransferred,IngressBytesTransferred | fl

Örnek çıktı:Example output:

ConnectionStatus        : Connected
EgressBytesTransferred  : 17734660
IngressBytesTransferred : 10538211

Bağımsız olarak Azure VPN ağ geçidi örneklerinde tüneller durumunu denetlemek için aşağıdaki örneği kullanın:To check the status of the tunnels on the Azure VPN gateway instances independently, use the following example:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object -ExpandProperty TunnelConnectionStatus

Örnek çıktı:Example output:

Tunnel                           : vpn2local1_52.175.250.191
ConnectionStatus                 : Connected
IngressBytesTransferred          : 4877438
EgressBytesTransferred           : 8754071
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:30

Tunnel                           : vpn2local1_52.175.253.112
ConnectionStatus                 : Connected
IngressBytesTransferred          : 5660773
EgressBytesTransferred           : 8980589
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:13

Ayrıca, şirket içi VPN cihazınızın tünel durumu kontrol edebilirsiniz.You can also check the tunnel status on your on-premises VPN device.

Cisco CSR1000 örnek:Cisco CSR1000 example:

show crypto session detail
show crypto ikev2 sa
show crypto ikev2 session detail
show crypto ipsec sa

Örnek çıktı:Example output:

csr1#show crypto session detail

Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
R - IKE Auto Reconnect

Interface: Tunnel1
Profile: az-PROFILE2
Uptime: 00:52:46
Session status: UP-ACTIVE
Peer: 52.175.250.191 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.250.191
      Desc: (none)
  Session ID: 3
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.250.191/4500 Active
          Capabilities:DN connid:3 lifetime:23:07:14
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 279 drop 0 life (KB/Sec) 4607976/433
        Outbound: #pkts enc'ed 164 drop 0 life (KB/Sec) 4607992/433

Interface: Tunnel0
Profile: az-PROFILE1
Uptime: 00:52:43
Session status: UP-ACTIVE
Peer: 52.175.253.112 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.253.112
      Desc: (none)
  Session ID: 2
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.253.112/4500 Active
          Capabilities:DN connid:2 lifetime:23:07:17
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 668 drop 0 life (KB/Sec) 4607926/437
        Outbound: #pkts enc'ed 477 drop 0 life (KB/Sec) 4607953/437

Satır Protokolü sanal Tunnel arabirimi (VTI) üzerinde "IKE Aşama 2 tamamlanana kadar yukarı" değiştirmez.The line protocol on the Virtual Tunnel Interface (VTI) does not change to "up" until IKE phase 2 has completed. Aşağıdaki komut, güvenlik ilişkisi doğrular:The following command verifies the security association:

csr1#show crypto ikev2 sa

IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
2         10.1.10.50/4500       52.175.253.112/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3277 sec

Tunnel-id Local                 Remote                fvrf/ivrf            Status
3         10.1.10.50/4500       52.175.250.191/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3280 sec

IPv6 Crypto IKEv2  SA

csr1#show crypto ipsec sa | inc encaps|decaps
    #pkts encaps: 177, #pkts encrypt: 177, #pkts digest: 177
    #pkts decaps: 296, #pkts decrypt: 296, #pkts verify: 296
    #pkts encaps: 554, #pkts encrypt: 554, #pkts digest: 554
    #pkts decaps: 746, #pkts decrypt: 746, #pkts verify: 746

İç arasında uçtan uca bağlantısını kontrol şirket içi ve Azure sanal ağıVerify end-to-end connectivity between the inside network on-premises and the Azure VNet

IPSec tünelleri ayarlama ve statik yollar doğru ayarlandığından, uzak BGP eş IP adresine ping atmayı alabiliyor olmanız gerekir:If the IPsec tunnels are up and the static routes are correctly set, you should be able to ping the IP address of the remote BGP peer:

csr1#ping 10.2.0.228
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.228, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/5 ms

#ping 10.2.0.229
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.229, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms

BGP oturumlarını IPSec üzerinden doğrulayınVerify the BGP sessions over IPsec

Azure VPN ağ geçidi, BGP eşi durumunu doğrulayın:On the Azure VPN gateway, verify the status of BGP peer:

Get-AzVirtualNetworkGatewayBGPPeerStatus -VirtualNetworkGatewayName vpnGtw -ResourceGroupName SEA-C1-VPN-ER | ft

Örnek çıktı:Example output:

  Asn ConnectedDuration LocalAddress MessagesReceived MessagesSent Neighbor    RoutesReceived State    
  --- ----------------- ------------ ---------------- ------------ --------    -------------- -----    
65010 00:57:19.9003584  10.2.0.228               68           72   172.16.0.10              2 Connected
65000                   10.2.0.228                0            0   10.2.0.228               0 Unknown  
65000 07:13:51.0109601  10.2.0.228              507          500   10.2.0.229               6 Connected

VPN yoğunlaştırıcı şirket eBGP aracılığıyla alınan ağ ön ekleri listesi doğrulamak için "Kaynak" özniteliği tarafından filtreleyebilirsiniz:To verify the list of network prefixes received via eBGP from the VPN concentrator on-premises, you can filter by attribute "Origin":

Get-AzVirtualNetworkGatewayLearnedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG  | Where-Object Origin -eq "EBgp" |ft

Örnek çıktıda, ASN 65010 VPN şirket içi BGP Otonom sistem numarası ' dir.In the example output, the ASN 65010 is the BGP autonomous system number in the VPN on-premises.

AsPath LocalAddress Network      NextHop     Origin SourcePeer  Weight
------ ------------ -------      -------     ------ ----------  ------
65010  10.2.0.228   10.1.10.0/25 172.16.0.10 EBgp   172.16.0.10  32768
65010  10.2.0.228   10.0.0.0/24  172.16.0.10 EBgp   172.16.0.10  32768

Tanıtılan rotaları listesini görmek için:To see the list of advertised routes:

Get-AzVirtualNetworkGatewayAdvertisedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG -Peer 10.2.0.228 | ft

Örnek çıktı:Example output:

AsPath LocalAddress Network        NextHop    Origin SourcePeer Weight
------ ------------ -------        -------    ------ ---------- ------
       10.2.0.229   10.2.0.0/24    10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.10/32 10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.5/32  10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.1/32  10.2.0.229 Igp                  0
65010  10.2.0.229   10.1.10.0/25   10.2.0.229 Igp                  0
65010  10.2.0.229   10.0.0.0/24    10.2.0.229 Igp                  0

Örneğin, şirket içi Cisco CSR1000:Example for the on-premises Cisco CSR1000:

csr1#show ip bgp neighbors 10.2.0.228 routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.2.0.0/24      10.2.0.228                             0 65000 i
 r>   172.16.0.1/32    10.2.0.228                             0 65000 i
 r>   172.16.0.2/32    10.2.0.228                             0 65000 i
 r>   172.16.0.3/32   10.2.0.228                             0 65000 i

Total number of prefixes 4

Azure VPN ağ geçidini şirket içi Cisco CSR1000 tanıtılan ağların listesini aşağıdaki komutu kullanarak listelenir:The list of networks advertised from the on-premises Cisco CSR1000 to the Azure VPN gateway can be listed using the following command:

csr1#show ip bgp neighbors 10.2.0.228 advertised-routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.0.0.0/24      0.0.0.0                  0         32768 i
 *>   10.1.10.0/25     0.0.0.0                  0         32768 i

Total number of prefixes 2

Sonraki adımlarNext steps