ExpressRoute Microsoft eşlemesi üzerinden siteden siteye VPN yapılandırma

Bu makale, expressRoute özel bağlantısı üzerinden şirket içi ağınız ile Azure sanal ağları (VNet) arasında güvenli şifreli bağlantı yapılandırmanıza yardımcı olur. Seçilen şirket içi ağlarla Azure sanal ağları arasında siteden siteye IPsec/IKE VPN tüneli oluşturmak için Microsoft eşlemesi kullanabilirsiniz. ExpressRoute üzerinden güvenli bir tünel yapılandırmak gizlilik, yeniden yürütmeye karşı koruma, kimlik doğrulama ve bütünlük ile veri değişimine olanak sağlar.

Bu makaledeki adımlar ve Örnekler Azure PowerShell az modules kullanır. Az modules 'i bilgisayarınıza yerel olarak yüklemek için bkz. Azure PowerShell Install. Yeni az modülle ilgili daha fazla bilgi için bkz. new Azure PowerShell konusuna giriş az Module. PowerShell cmdlet 'leri sıklıkla güncelleştirilir. En son sürümü çalıştırmıyorsanız, yönergelerde belirtilen değerler başarısız olabilir. Sisteminizde yüklü PowerShell sürümlerini bulmak için Get-Module -ListAvailable Az cmdlet 'ini kullanın.

Mimari

Yüksek kullanılabilirlik ve yedeklilik için, ExpressRoute bağlantı hattında iki MSEE-PE çifti üzerinde birden çok tünel yapılandırarak tüneller arasında yük dengelemeyi etkinleştirin.

Microsoft eşlemesi üzerinden VPN tünelleri VPN ağ geçidi kullanılarak veya ağ geçidi üzerinden kullanılabilen uygun bir Ağ Sanal Aleti (NVA) Azure Market. Rota değişimini temel alınan Microsoft eşlemesi ile açığa çıkarmadan şifrelenmiş tüneller üzerinden rotaları statik veya dinamik olarak takas edersiniz. Bu makaledeki örneklerde, şifrelenmiş tüneller üzerinden dinamik olarak ön ekleri değiştirmek için BGP (Microsoft eşlemesini oluşturmak için kullanılan BGP oturumundan farklı) kullanılır.

İş akışı

1. ExpressRoute bağlantı hattınız için Microsoft eşlemesini yapılandırma.
2. Microsoft eşlemesi aracılığıyla seçili Azure bölgesel genel ön eklerini şirket içi ağınıza tanıtın.
3. VPN ağ geçidi yapılandırma ve IPsec tünelleri oluşturma
4. Şirket içi VPN cihazı yapılandırma.
5. Siteden siteye IPsec/IKE bağlantısını oluşturun.
6. (İsteğe bağlı) Şirket içi VPN cihazında güvenlik duvarlarını/filtrelemeyi yapılandırma.
7. ExpressRoute bağlantı hattı üzerinden IPsec iletişimini test etme ve doğrulama.

1. Microsoft eşlemeyi yapılandırma

ExpressRoute üzerinden siteden siteye VPN bağlantısı yapılandırmak için ExpressRoute Microsoft eşlemeden yararlanabilirsiniz.

• Yeni bir ExpressRoute bağlantı hattı yapılandırmak için ExpressRoute önkoşulları makalesini okuyun ve ardından ExpressRoutebağlantı hattı oluşturma ve değiştirme.

• Zaten bir ExpressRoute bağlantı hattına sahipsiniz ancak Microsoft eşlemesi yapılandırılmamışsa, ExpressRoute bağlantı hattı için eşleme oluşturma ve değiştirme makalesini kullanarak Microsoft eşlemesini yapılandırabilirsiniz.

Bağlantı hattınızı ve Microsoft eşlemenizi yapılandırdıktan sonra, bağlantı hattı sayfasındaki Genel Bakış sayfasını kullanarak kolayca Azure portal.

2. Rota filtrelerini yapılandırma

Rota filtresi, ExpressRoute bağlantı hattınızın Microsoft eşlemesi üzerinden kullanmak istediğiniz hizmetleri tanımlamanızı sağlar. Temelde tüm BGP topluluk değerlerinin izin verme listesidir.

Bu örnekte, dağıtım yalnızca Azure Batı ABD 2 bölgesindedir. Yalnızca 12076:51026 BGP topluluk değerine sahip olan bölgesel ön eklerin Azure Batı ABD 2 için bir yol filtresi kuralı eklenir. Kuralı yönet'i seçerek izin vermek istediğiniz bölgesel ön ekleri belirtirsiniz.

Yol filtresi içinde, rota filtresinin uygulandığı ExpressRoute bağlantı hatlarını da seçmeniz gerekir. Bağlantı hattı ekle'yi seçerek ExpressRoute bağlantı hatlarını seçebilirsiniz. Önceki şekilde, yol filtresi örnek ExpressRoute bağlantı hattıyla ilişkilendirildi.

2.1 Rota filtresini yapılandırma

Rota filtresi yapılandırma. Adımlar için bkz. Microsoft eşlemesi için yol filtrelerini yapılandırma.

2.2 BGP yollarını doğrulama

ExpressRoute bağlantı hattınız üzerinde Microsoft eşlemesini başarıyla oluşturduktan ve bağlantı hattıyla bir yol filtresi bağlayan, MSEE'lerle eşlenmiş PE cihazlarında MSEE'lerden alınan BGP yollarını doğruabilirsiniz. Doğrulama komutu, PE cihazlarınızı işletim sistemine bağlı olarak değişir.

Cisco örnekleri

Bu örnekte Cisco IOS-XE komutu 1. Örnekte eşleme trafiğini yalıtmak için sanal yönlendirme ve iletme (VRF) örneği kullanılır.

show ip bgp vpnv4 vrf 10 summary

Aşağıdaki kısmi çıktı, * ASN 12076 (MSEE) ile 68 ön ekin .243.229.34 komşudan alınmıştır:

...

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
X.243.229.34    4        12076   17671   17650    25228    0    0 1w4d           68

Komşudan alınan ön eklerin listesini görmek için aşağıdaki örneği kullanın:

sh ip bgp vpnv4 vrf 10 neighbors X.243.229.34 received-routes

Doğru ön ek kümesine sahip olduğunu onaylamak için çapraz doğrulamayı kullanabilirsiniz. Aşağıdaki Azure PowerShell komutu çıktısı, hizmetlerin her biri ve Azure bölgesi için Microsoft eşlemesi aracılığıyla tanıt edilen ön ekleri listeler:

Get-AzBgpServiceCommunity

3. VPN ağ geçidini ve IPsec tünellerini yapılandırma

Bu bölümde, Azure VPN ağ geçidi ile şirket içi VPN cihazı arasında IPsec VPN tünelleri oluşturulur. Örnekler Cisco Cloud Service Router (CSR1000) VPN cihazlarını kullanır.

Aşağıdaki diyagramda, şirket içi VPN cihazı 1 ile Azure VPN ağ geçidi örnek çifti arasında kurulmuş IPsec VPN tünelleri yer alır. Şirket içi VPN cihazı 2 ile Azure VPN ağ geçidi örnek çifti arasında kurulan iki IPsec VPN tüneli diyagramda gösterlanmaz ve yapılandırma ayrıntıları listelenmiyor. Ancak, ek VPN tünellerinin olması yüksek kullanılabilirliği iyiler.

IPsec tünel çifti üzerinden, özel ağ yollarının değişimi için bir eBGP oturumu kurulur. Aşağıdaki diyagramda, IPsec tünel çifti üzerinden kurulan eBGP oturumu gösterir:

Aşağıdaki diyagramda örnek ağa ilişkin özet bir genel bakış yer ağına bakın:

Örnek Azure Resource Manager örnekleri hakkında

Örneklerde, VPN ağ geçidi ve IPsec tünel sonlandırmaları bir Azure Resource Manager yapılandırılır. Resource Manager şablonlarını kullanmaya yeni başladıysanız veya Resource Manager şablon temellerini anlamak için bkz. Şablon şablonlarının yapısını ve söz Azure Resource Manager anlama. Bu bölümdeki şablon, yeşil renkli bir Azure ortamı (VNet) oluşturur. Ancak, var olan bir sanal ağınız varsa şablonda buna başvurabilirsiniz. VPN ağ geçidi IPsec/IKE siteden siteye yapılandırmaları hakkında bilginiz yoksa bkz. Sitedensiteye bağlantı oluşturma.

3.1 Değişkenleri tanımlama

Bu örnekte değişken bildirimleri örnek ağa karşılık gelir. Değişkenleri bildirerek ortamınızı yansıtacak şekilde bu bölümü değiştirebilirsiniz.

• localAddressPrefix değişkeni, IPsec tünellerini sonlandırmak için bir şirket içi IP adresleri dizisidir.
• GatewaySku, VPN aktarım hızını belirler. gatewaySku ve vpnType hakkında daha fazla bilgi için bkz. VPN Gateway ayarları. Fiyatlandırma için bkz. VPN Gateway fiyatlandırması.
• vpnType'ı RouteBased olarak ayarlayın.

"variables": {
  "virtualNetworkName": "SecureVNet",       // Name of the Azure VNet
  "azureVNetAddressPrefix": "10.2.0.0/24",  // Address space assigned to the VNet
  "subnetName": "Tenant",                   // subnet name in which tenants exists
  "subnetPrefix": "10.2.0.0/25",            // address space of the tenant subnet
  "gatewaySubnetPrefix": "10.2.0.224/27",   // address space of the gateway subnet
  "localGatewayName": "localGW1",           // name of remote gateway (on-premises)
  "localGatewayIpAddress": "X.243.229.110", // public IP address of the on-premises VPN device
  "localAddressPrefix": [
    "172.16.0.1/32",                        // termination of IPsec tunnel-1 on-premises 
    "172.16.0.2/32"                         // termination of IPsec tunnel-2 on-premises 
  ],
  "gatewayPublicIPName1": "vpnGwVIP1",    // Public address name of the first VPN gateway instance
  "gatewayPublicIPName2": "vpnGwVIP2",    // Public address name of the second VPN gateway instance 
  "gatewayName": "vpnGw",                 // Name of the Azure VPN gateway
  "gatewaySku": "VpnGw1",                 // Azure VPN gateway SKU
  "vpnType": "RouteBased",                // type of VPN gateway
  "sharedKey": "string",                  // shared secret needs to match with on-premises configuration
  "asnVpnGateway": 65000,                 // BGP Autonomous System number assigned to the VPN Gateway 
  "asnRemote": 65010,                     // BGP Autonmous Syste number assigned to the on-premises device
  "bgpPeeringAddress": "172.16.0.3",      // IP address of the remote BGP peer on-premises
  "connectionName": "vpn2local1",
  "vnetID": "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]",
  "gatewaySubnetRef": "[concat(variables('vnetID'),'/subnets/','GatewaySubnet')]",
  "subnetRef": "[concat(variables('vnetID'),'/subnets/',variables('subnetName'))]",
  "api-version": "2017-06-01"
},

3.2 Sanal ağ (VNet) oluşturma

Mevcut bir VNet'i VPN tünelleri ile bağlıysanız bu adımı atlayabilirsiniz.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/virtualNetworks",
  "name": "[variables('virtualNetworkName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "addressSpace": {
      "addressPrefixes": [
        "[variables('azureVNetAddressPrefix')]"
      ]
    },
    "subnets": [
      {
        "name": "[variables('subnetName')]",
        "properties": {
          "addressPrefix": "[variables('subnetPrefix')]"
        }
      },
      {
        "name": "GatewaySubnet",
        "properties": {
          "addressPrefix": "[variables('gatewaySubnetPrefix')]"
        }
      }
    ]
  },
  "comments": "Create a Virtual Network with Subnet1 and Gatewaysubnet"
},

3.3 VPN ağ geçidi örneklerine genel IP adresleri atama

Vpn ağ geçidinin her örneği için bir genel IP adresi attayabilirsiniz.

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName1')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the first instance of the VPN gateway"
  },
  {
    "apiVersion": "[variables('api-version')]",
    "type": "Microsoft.Network/publicIPAddresses",
    "name": "[variables('gatewayPublicIPName2')]",
    "location": "[resourceGroup().location]",
    "properties": {
      "publicIPAllocationMethod": "Dynamic"
    },
    "comments": "Public IP for the second instance of the VPN gateway"
  },

3.4 Şirket içi VPN tüneli sonlandırmasını belirtme (yerel ağ geçidi)

Şirket içi VPN cihazları yerel ağ geçidi olarak adlandırılır. Aşağıdaki JSON kod parçacığı uzak BGP eş ayrıntılarını da belirtir:

{
  "apiVersion": "[variables('api-version')]",
  "type": "Microsoft.Network/localNetworkGateways",
  "name": "[variables('localGatewayName')]",
  "location": "[resourceGroup().location]",
  "properties": {
    "localNetworkAddressSpace": {
      "addressPrefixes": "[variables('localAddressPrefix')]"
    },
    "gatewayIpAddress": "[variables('localGatewayIpAddress')]",
    "bgpSettings": {
      "asn": "[variables('asnRemote')]",
      "bgpPeeringAddress": "[variables('bgpPeeringAddress')]",
      "peerWeight": 0
    }
  },
  "comments": "Local Network Gateway (referred to your on-premises location) with IP address of remote tunnel peering and IP address of remote BGP peer"
},

3.5 VPN ağ geçidi oluşturma

Şablonun bu bölümü VPN ağ geçidini etkin-etkin yapılandırma için gerekli ayarlarla yapılandırıyor. Aşağıdaki gereksinimleri unutmayın:

• VPN ağ geçidini "RouteBased" VpnType ile oluşturun. VPN ağ geçidi ile şirket içi VPN arasında BGP yönlendirmeyi etkinleştirmek için bu ayar zorunludur.
• VPN ağ geçidinin iki örneği ile etkin-etkin modda verilen bir şirket içi cihaz arasında VPN tünelleri oluşturmak için, "activeActive" parametresi Resource Manager ayarlanır. Yüksek oranda kullanılabilir VPN ağ geçitleri hakkında daha fazla bilgi için bkz. Yüksek oranda kullanılabilir VPN ağ geçidi bağlantısı.
• VPN tünelleri arasında eBGP oturumlarını yapılandırmak için her iki tarafta da iki farklı ASN belirtmeniz gerekir. Özel ASN numaraları belirtmek tercih edilir. Daha fazla bilgi için bkz. BGP ve Azure VPN ağ geçitleri ile ilgili genel bakış.

{
"apiVersion": "[variables('api-version')]",
"type": "Microsoft.Network/virtualNetworkGateways",
"name": "[variables('gatewayName')]",
"location": "[resourceGroup().location]",
"dependsOn": [
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName1'))]",
  "[concat('Microsoft.Network/publicIPAddresses/', variables('gatewayPublicIPName2'))]",
  "[concat('Microsoft.Network/virtualNetworks/', variables('virtualNetworkName'))]"
],
"properties": {
  "ipConfigurations": [
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName1'))]"
        }
      },
      "name": "vnetGtwConfig1"
    },
    {
      "properties": {
        "privateIPAllocationMethod": "Dynamic",
        "subnet": {
          "id": "[variables('gatewaySubnetRef')]"
        },
        "publicIPAddress": {
          "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('gatewayPublicIPName2'))]"
        }
      },
          "name": "vnetGtwConfig2"
        }
      ],
      "sku": {
        "name": "[variables('gatewaySku')]",
        "tier": "[variables('gatewaySku')]"
      },
      "gatewayType": "Vpn",
      "vpnType": "[variables('vpnType')]",
      "enableBgp": true,
      "activeActive": true,
      "bgpSettings": {
        "asn": "[variables('asnVpnGateway')]"
      }
    },
    "comments": "VPN Gateway in active-active configuration with BGP support"
  },

3,6 IPSec tünellerini oluşturma

Betiğin son eylemi, Azure VPN ağ geçidi ve şirket içi VPN cihazı arasında IPSec tünelleri oluşturur.

{
  "apiVersion": "[variables('api-version')]",
  "name": "[variables('connectionName')]",
  "type": "Microsoft.Network/connections",
  "location": "[resourceGroup().location]",
  "dependsOn": [
    "[concat('Microsoft.Network/virtualNetworkGateways/', variables('gatewayName'))]",
    "[concat('Microsoft.Network/localNetworkGateways/', variables('localGatewayName'))]"
  ],
  "properties": {
    "virtualNetworkGateway1": {
      "id": "[resourceId('Microsoft.Network/virtualNetworkGateways', variables('gatewayName'))]"
    },
    "localNetworkGateway2": {
      "id": "[resourceId('Microsoft.Network/localNetworkGateways', variables('localGatewayName'))]"
    },
    "connectionType": "IPsec",
    "routingWeight": 0,
    "sharedKey": "[variables('sharedKey')]",
    "enableBGP": "true"
  },
  "comments": "Create a Connection type site-to-site (IPsec) between the Azure VPN Gateway and the VPN device on-premises"
  }

4. Şirket içi VPN cihazını yapılandırma

Azure VPN Gateway, farklı satıcılardan gelen birçok VPN cihazlarıyla uyumludur. VPN Gateway ile çalışmak üzere doğrulanan yapılandırma bilgileri ve cihazlar için bkz. VPN cihazları hakkında.

VPN cihazınızı yapılandırırken aşağıdaki öğeler gereklidir:

• Paylaşılan bir anahtar. Bu, siteden siteye VPN bağlantınızı oluştururken belirttiğiniz aynı paylaşılan anahtardır. Örnekler temel bir paylaşılan anahtar kullanır. Kullanmak için daha karmaşık bir anahtar oluşturmanız önerilir.
• VPN ağ geçidinizin genel IP adresi. Azure Portal, PowerShell veya CLI kullanarak genel IP adresini görüntüleyebilirsiniz. Azure portalını kullanarak VPN ağ geçidinizin Genel IP adresini bulmak için Sanal ağ geçitleri’ne gidin ve ağ geçidinizin adına tıklayın.

Genellikle eBGP eşleri doğrudan bağlanır (genellikle WAN bağlantısı üzerinden). Ancak, ExpressRoute Microsoft eşlemesi aracılığıyla IPSec VPN tünelleri üzerinden eBGP yapılandırırken, eBGP eşleri arasında birden çok yönlendirme etki alanı vardır. Doğrudan bağlantılı olmayan iki eş arasında eBGP komşusu ilişkisi oluşturmak için ebgp-multihop komutunu kullanın. Ebgp-multihop komutunu izleyen tamsayı BGP paketlerindeki TTL değerini belirtir. En fazla Path, eibgp 2 , iki BGP yolu arasında trafiğin yük dengelenmesini mümkün bir şekilde sunar.

Cisco CSR1000 örneği

Aşağıdaki örnekte, şirket içi VPN cihazı olarak bir Hyper-V sanal makinesinde Cisco CSR1000 yapılandırması gösterilmektedir:

!
crypto ikev2 proposal az-PROPOSAL
 encryption aes-cbc-256 aes-cbc-128 3des
 integrity sha1
 group 2
!
crypto ikev2 policy az-POLICY
 proposal az-PROPOSAL
!
crypto ikev2 keyring key-peer1
 peer azvpn1
  address 52.175.253.112
  pre-shared-key secret*1234
 !
!
crypto ikev2 keyring key-peer2
 peer azvpn2
  address 52.175.250.191
  pre-shared-key secret*1234
 !
!
!
crypto ikev2 profile az-PROFILE1
 match address local interface GigabitEthernet1
 match identity remote address 52.175.253.112 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer1
!
crypto ikev2 profile az-PROFILE2
 match address local interface GigabitEthernet1
 match identity remote address 52.175.250.191 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local key-peer2
!
crypto ikev2 dpd 10 2 on-demand
!
!
crypto ipsec transform-set az-IPSEC-PROPOSAL-SET esp-aes 256 esp-sha-hmac
 mode tunnel
!
crypto ipsec profile az-VTI1
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE1
!
crypto ipsec profile az-VTI2
 set transform-set az-IPSEC-PROPOSAL-SET
 set ikev2-profile az-PROFILE2
!
!
interface Loopback0
 ip address 172.16.0.3 255.255.255.255
!
interface Tunnel0
 ip address 172.16.0.1 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.253.112
 tunnel protection ipsec profile az-VTI1
!
interface Tunnel1
 ip address 172.16.0.2 255.255.255.255
 ip tcp adjust-mss 1350
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 52.175.250.191
 tunnel protection ipsec profile az-VTI2
!
interface GigabitEthernet1
 description External interface
 ip address x.243.229.110 255.255.255.252
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet2
 ip address 10.0.0.1 255.255.255.0
 negotiation auto
 no mop enabled
 no mop sysid
!
router bgp 65010
 bgp router-id interface Loopback0
 bgp log-neighbor-changes
 network 10.0.0.0 mask 255.255.255.0
 network 10.1.10.0 mask 255.255.255.128
 neighbor 10.2.0.228 remote-as 65000
 neighbor 10.2.0.228 ebgp-multihop 5
 neighbor 10.2.0.228 update-source Loopback0
 neighbor 10.2.0.228 soft-reconfiguration inbound
 neighbor 10.2.0.228 filter-list 10 out
 neighbor 10.2.0.229 remote-as 65000    
 neighbor 10.2.0.229 ebgp-multihop 5
 neighbor 10.2.0.229 update-source Loopback0
 neighbor 10.2.0.229 soft-reconfiguration inbound
 maximum-paths eibgp 2
!
ip route 0.0.0.0 0.0.0.0 10.1.10.1
ip route 10.2.0.228 255.255.255.255 Tunnel0
ip route 10.2.0.229 255.255.255.255 Tunnel1
!

5. VPN cihaz filtrelemeyi ve güvenlik duvarlarını yapılandırma (isteğe bağlı)

Güvenlik duvarınızı ve filtrelemesini gereksinimlerinize göre yapılandırın.

6. IPSec tüneli test edin ve doğrulayın

IPSec tünellerinin durumu, Azure VPN Gateway 'den PowerShell komutlarına göre doğrulanabilir:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object  ConnectionStatus,EgressBytesTransferred,IngressBytesTransferred | fl

Örnek çıktı:

ConnectionStatus        : Connected
EgressBytesTransferred  : 17734660
IngressBytesTransferred : 10538211

Azure VPN ağ geçidi örneklerinde tünellerin durumunu bağımsız olarak denetlemek için aşağıdaki örneği kullanın:

Get-AzVirtualNetworkGatewayConnection -Name vpn2local1 -ResourceGroupName myRG | Select-Object -ExpandProperty TunnelConnectionStatus

Örnek çıktı:

Tunnel                           : vpn2local1_52.175.250.191
ConnectionStatus                 : Connected
IngressBytesTransferred          : 4877438
EgressBytesTransferred           : 8754071
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:30

Tunnel                           : vpn2local1_52.175.253.112
ConnectionStatus                 : Connected
IngressBytesTransferred          : 5660773
EgressBytesTransferred           : 8980589
LastConnectionEstablishedUtcTime : 11/04/2017 17:03:13

Ayrıca, şirket içi VPN cihazınızda tünel durumunu da denetleyebilirsiniz.

Cisco CSR1000 örneği:

show crypto session detail
show crypto ikev2 sa
show crypto ikev2 session detail
show crypto ipsec sa

Örnek çıktı:

csr1#show crypto session detail

Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
R - IKE Auto Reconnect

Interface: Tunnel1
Profile: az-PROFILE2
Uptime: 00:52:46
Session status: UP-ACTIVE
Peer: 52.175.250.191 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.250.191
      Desc: (none)
  Session ID: 3
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.250.191/4500 Active
          Capabilities:DN connid:3 lifetime:23:07:14
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 279 drop 0 life (KB/Sec) 4607976/433
        Outbound: #pkts enc'ed 164 drop 0 life (KB/Sec) 4607992/433

Interface: Tunnel0
Profile: az-PROFILE1
Uptime: 00:52:43
Session status: UP-ACTIVE
Peer: 52.175.253.112 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 52.175.253.112
      Desc: (none)
  Session ID: 2
  IKEv2 SA: local 10.1.10.50/4500 remote 52.175.253.112/4500 Active
          Capabilities:DN connid:2 lifetime:23:07:17
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 668 drop 0 life (KB/Sec) 4607926/437
        Outbound: #pkts enc'ed 477 drop 0 life (KB/Sec) 4607953/437

sanal Tunnel arabirimindeki (vtı) hat protokolü, ıke aşama 2 tamamlanana kadar "yukarı" olarak değişmez. Aşağıdaki komut güvenlik ilişkilendirmesini doğrular:

csr1#show crypto ikev2 sa

IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
2         10.1.10.50/4500       52.175.253.112/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3277 sec

Tunnel-id Local                 Remote                fvrf/ivrf            Status
3         10.1.10.50/4500       52.175.250.191/4500   none/none            READY
      Encr: AES-CBC, keysize: 256, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3280 sec

IPv6 Crypto IKEv2  SA

csr1#show crypto ipsec sa | inc encaps|decaps
    #pkts encaps: 177, #pkts encrypt: 177, #pkts digest: 177
    #pkts decaps: 296, #pkts decrypt: 296, #pkts verify: 296
    #pkts encaps: 554, #pkts encrypt: 554, #pkts digest: 554
    #pkts decaps: 746, #pkts decrypt: 746, #pkts verify: 746

Şirket içi ve Azure sanal ağı arasındaki uçtan uca bağlantıyı doğrulama

IPSec tünelleri varsa ve statik yollar doğru ayarlandıysa, uzak BGP eşinin IP adresine ping atabiliyor olmanız gerekir:

csr1#ping 10.2.0.228
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.228, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/5 ms

#ping 10.2.0.229
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.229, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms

IPSec üzerinden BGP oturumlarını doğrulama

Azure VPN ağ geçidinde, BGP eşinin durumunu doğrulayın:

Get-AzVirtualNetworkGatewayBGPPeerStatus -VirtualNetworkGatewayName vpnGtw -ResourceGroupName SEA-C1-VPN-ER | ft

Örnek çıktı:

  Asn ConnectedDuration LocalAddress MessagesReceived MessagesSent Neighbor    RoutesReceived State    
  --- ----------------- ------------ ---------------- ------------ --------    -------------- -----    
65010 00:57:19.9003584  10.2.0.228               68           72   172.16.0.10              2 Connected
65000                   10.2.0.228                0            0   10.2.0.228               0 Unknown  
65000 07:13:51.0109601  10.2.0.228              507          500   10.2.0.229               6 Connected

Şirket içi VPN yoğunlaştırıcısında eBGP aracılığıyla alınan ağ öneklerinin listesini doğrulamak için, özniteliğe "Origin" olarak filtre uygulayabilirsiniz:

Get-AzVirtualNetworkGatewayLearnedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG  | Where-Object Origin -eq "EBgp" |ft

Örnek çıktıda ASN 65010, şirket içi VPN 'deki BGP otonom sistem numarasıdır.

AsPath LocalAddress Network      NextHop     Origin SourcePeer  Weight
------ ------------ -------      -------     ------ ----------  ------
65010  10.2.0.228   10.1.10.0/25 172.16.0.10 EBgp   172.16.0.10  32768
65010  10.2.0.228   10.0.0.0/24  172.16.0.10 EBgp   172.16.0.10  32768

Tanıtılan yolların listesini görmek için:

Get-AzVirtualNetworkGatewayAdvertisedRoute -VirtualNetworkGatewayName vpnGtw -ResourceGroupName myRG -Peer 10.2.0.228 | ft

Örnek çıktı:

AsPath LocalAddress Network        NextHop    Origin SourcePeer Weight
------ ------------ -------        -------    ------ ---------- ------
       10.2.0.229   10.2.0.0/24    10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.10/32 10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.5/32  10.2.0.229 Igp                  0
       10.2.0.229   172.16.0.1/32  10.2.0.229 Igp                  0
65010  10.2.0.229   10.1.10.0/25   10.2.0.229 Igp                  0
65010  10.2.0.229   10.0.0.0/24    10.2.0.229 Igp                  0

Şirket içi Cisco CSR1000 örneği:

csr1#show ip bgp neighbors 10.2.0.228 routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.2.0.0/24      10.2.0.228                             0 65000 i
 r>   172.16.0.1/32    10.2.0.228                             0 65000 i
 r>   172.16.0.2/32    10.2.0.228                             0 65000 i
 r>   172.16.0.3/32   10.2.0.228                             0 65000 i

Total number of prefixes 4

Şirket içi Cisco CSR1000 'dan Azure VPN Gateway 'e tanıtılan ağların listesi aşağıdaki komut kullanılarak listelenebilir:

csr1#show ip bgp neighbors 10.2.0.228 advertised-routes
BGP table version is 7, local router ID is 172.16.0.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
              x best-external, a additional-path, c RIB-compressed,
              t secondary path,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

     Network          Next Hop            Metric LocPrf Weight Path
 *>   10.0.0.0/24      0.0.0.0                  0         32768 i
 *>   10.1.10.0/25     0.0.0.0                  0         32768 i

Total number of prefixes 2

Sonraki adımlar

• ExpressRoute için Ağ Performansı İzleyicisi’ni Yapılandırma

• Mevcut bir VPN Ağ Geçidi bağlantısı ile bir VNet 'e siteden siteye bağlantı ekleme