ExpressRoute şifrelemesi: Sanal WAN için ExpressRoute üzerinden IPsec

  • Makale

Bu makalede, Bir Azure ExpressRoute bağlantı hattının özel eşlemesi üzerinden şirket içi ağınızdan Azure'a IPsec/IKE VPN bağlantısı kurmak için Azure Sanal WAN'nin nasıl kullanılacağı gösterilmektedir. Bu teknik, şirket içi ağlar ile ExpressRoute üzerinden Azure sanal ağları arasında, genel İnternet üzerinden gitmeden veya genel IP adresleri kullanmadan şifrelenmiş bir geçiş sağlayabilir.

Topoloji ve yönlendirme

Aşağıdaki diyagramda ExpressRoute özel eşlemesi üzerinden VPN bağlantısı örneği gösterilmektedir:

ExpressRoute üzerinden VPN diyagramı.

Diyagramda, ExpressRoute özel eşlemesi üzerinden Azure hub VPN ağ geçidine bağlı şirket içi ağın içindeki bir ağ gösterilmektedir. Bağlantı kurulumu basittir:

  1. ExpressRoute bağlantı hattı ve özel eşleme ile ExpressRoute bağlantısı kurun.
  2. Bu makalede açıklandığı gibi VPN bağlantısını kurun.

Bu yapılandırmanın önemli bir yönü, hem ExpressRoute hem de VPN yolları üzerinden şirket içi ağlar ile Azure arasında yönlendirmedir.

Şirket içi ağlardan Azure'a trafik

Şirket içi ağlardan Azure'a gelen trafik için Azure ön ekleri (sanal merkez ve hub'a bağlı tüm uç sanal ağlar dahil) hem ExpressRoute özel eşleme BGP'si hem de VPN BGP aracılığıyla tanıtılır. Bu, şirket içi ağlardan Azure'a doğru iki ağ yolu (yol) elde eder:

  • IPsec korumalı yol üzerinde bir tane
  • IPsec koruması olmadan ExpressRoute üzerinden doğrudan bir tane

İletişime şifreleme uygulamak için diyagramdaki VPN bağlantılı ağ için şirket içi VPN ağ geçidi üzerinden Azure yollarının doğrudan ExpressRoute yolu üzerinden tercih edildiğinden emin olmanız gerekir.

Azure'dan şirket içi ağlara trafik

Aynı gereksinim Azure'dan şirket içi ağlara gelen trafik için de geçerlidir. IPsec yolunun doğrudan ExpressRoute yolu (IPsec olmadan) yerine tercih edilmesini sağlamak için iki seçeneğiniz vardır:

  • VPN bağlantılı ağ için VPN BGP oturumunda daha belirli ön ekleri tanıtın. ExpressRoute özel eşlemesi üzerinden VPN'e bağlı ağı kapsayan daha geniş bir aralığı ve ardından VPN BGP oturumunda daha belirli aralıkları tanıtabilirsiniz. Örneğin, ExpressRoute üzerinden 10.0.0.0/16 ve VPN üzerinden 10.0.1.0/24 tanıtma.

  • VPN ve ExpressRoute için kopuk ön ekleri tanıtma. VPN bağlantılı ağ aralıkları diğer ExpressRoute bağlı ağlarından kopuksa, ön ekleri sırasıyla VPN ve ExpressRoute BGP oturumlarında tanıtabilirsiniz. Örneğin, ExpressRoute üzerinden 10.0.0.0/24 ve VPN üzerinden 10.0.1.0/24 tanıtma.

Bu örneklerin her ikisinde de Azure, VPN koruması olmadan doğrudan ExpressRoute üzerinden değil VPN bağlantısı üzerinden 10.0.1.0/24'e trafik gönderir.

Uyarı

Aynı ön ekleri hem ExpressRoute hem de VPN bağlantıları üzerinden tanıtıyorsanız Azure, ExpressRoute yolunu doğrudan VPN koruması olmadan kullanır.

Başlamadan önce

Yapılandırmanıza başlamadan önce aşağıdaki ölçütleri karşıladığınızdan emin olun:

  • Bağlanmak istediğiniz sanal ağınız zaten varsa, şirket içi ağınızın alt ağlarından hiçbirinin onunla çakışmadığını doğrulayın. Sanal ağınız bir ağ geçidi alt ağı gerektirmez ve sanal ağ geçitlerine sahip olamaz. Sanal ağınız yoksa, bu makaledeki adımları kullanarak bir sanal ağ oluşturabilirsiniz.
  • Hub bölgenizden bir IP adresi aralığı edinin. Merkez bir sanal ağdır ve hub bölgesi için belirttiğiniz adres aralığı, bağlandığınız mevcut bir sanal ağ ile çakışamaz. Ayrıca şirket içinde bağlandığınız adres aralıklarıyla da örtüşemez. Şirket içi ağ yapılandırmanızda bulunan IP adresi aralıklarını bilmiyorsanız, bu ayrıntıları sizin için sağlayabilecek biriyle koordine edin.
  • Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

1. Ağ geçitleri ile sanal WAN ve hub oluşturma

Devam etmeden önce aşağıdaki Azure kaynaklarının ve ilgili şirket içi yapılandırmaların yerinde olması gerekir:

ExpressRoute ilişkilendirmesi olan bir Azure sanal WAN ve hub oluşturma adımları için bkz. Azure Sanal WAN kullanarak ExpressRoute ilişkilendirmesi oluşturma. Sanal WAN'da VPN ağ geçidi oluşturma adımları için bkz. Azure Sanal WAN kullanarak siteden siteye bağlantı oluşturma.

2. Şirket içi ağ için site oluşturma

Site kaynağı, sanal WAN için ExpressRoute olmayan VPN sitelerle aynıdır. Şirket içi VPN cihazının IP adresi artık bir özel IP adresi veya 1. adımda oluşturulan ExpressRoute özel eşlemesi aracılığıyla erişilebilen şirket içi ağdaki bir genel IP adresi olabilir.

Not

Şirket içi VPN cihazının IP adresi, Azure ExpressRoute özel eşlemesi aracılığıyla sanal WAN hub'ına tanıtılan adres ön eklerinin bir parçası olmalıdır .

  1. YourVirtualWAN > VPN sitelerine gidin ve şirket içi ağınız için bir site oluşturun. Temel adımlar için bkz. Site oluşturma. Aşağıdaki ayarlar değerlerini göz önünde bulundurun:

    • Sınır Ağ Geçidi Protokolü: Şirket içi ağınız BGP kullanıyorsa "Etkinleştir" seçeneğini belirleyin.
    • Özel adres alanı: Şirket içi sitenizde bulunan IP adresi alanını girin. Bu adres alanını hedefleyen trafik, VPN ağ geçidi üzerinden şirket içi ağa yönlendirilir.

  2. Fiziksel bağlantılar hakkında bilgi eklemek için Bağlantılar'ı seçin. Aşağıdaki ayarlar bilgilerini göz önünde bulundurun:

    • Sağlayıcı Adı: Bu sitenin internet servis sağlayıcısının adı. Bir ExpressRoute şirket içi ağı için bu, ExpressRoute hizmet sağlayıcısının adıdır.

    • Hız: İnternet hizmeti bağlantısının veya ExpressRoute bağlantı hattının hızı.

    • IP adresi: Şirket içi sitenizde bulunan VPN cihazının genel IP adresi. Veya şirket içi ExpressRoute için bu, ExpressRoute aracılığıyla VPN cihazının özel IP adresidir.

    • BGP etkinse, Azure'da bu site için oluşturulan tüm bağlantılar için geçerlidir. Sanal WAN üzerinde BGP'yi yapılandırmak, Azure VPN ağ geçidinde BGP'yi yapılandırmaya eşdeğerdir.

    • Şirket içi BGP eş adresiniz, VPN'nizin cihaza yönelik IP adresi veya VPN sitesinin sanal ağ adres alanı ile aynı olmamalıdır . VPN cihazında BGP eş IP’niz olarak farklı bir IP adresi kullanın. Bu aygıttaki geri döngü arabirimine atanmış bir adres olabilir. Ancak apiPA (169.254) olamaz.x. x) adresini seçin. Bu adresi konumu temsil eden ilgili VPN sitesinde belirtin. BGP önkoşulları için bkz. Azure VPN Gateway ile BGP hakkında.

  3. Ayar değerlerini denetlemek ve VPN sitesini oluşturmak için İleri: Gözden geçir + oluştur'u > ve ardından Siteyi oluştur'u seçin.

  4. Ardından, bu temel adımları kılavuz olarak kullanarak siteyi hub'a bağlayın. Ağ geçidinin güncelleştirilmiş olması 30 dakika kadar sürebilir.

3. ExpressRoute kullanmak için VPN bağlantısı ayarını güncelleştirin

VPN sitesini oluşturup hub'a bağlandıktan sonra, bağlantıyı ExpressRoute özel eşlemesini kullanacak şekilde yapılandırmak için aşağıdaki adımları kullanın:

  1. Sanal hub'a gidin. Bunu yapmak için Sanal WAN gidip hub'ı seçerek hub sayfasını açabilir veya VPN sitesinden bağlı sanal hub'a gidebilirsiniz.

  2. Bağlantı'nın altında VPN (Siteden Siteye) seçeneğini belirleyin.

  3. Üç noktayı (...) seçin veya ExpressRoute üzerinden VPN sitesine sağ tıklayın ve Bu hub'a VPN bağlantısını düzenle'yi seçin.

  4. Temel bilgiler sayfasında varsayılan değerleri değiştirmeyin.

  5. Bağlantı bağlantısı 1 sayfasında aşağıdaki ayarları yapılandırın:

    • Azure Özel IP Adresini Kullan için Evet'i seçin. Bu ayar, merkez VPN ağ geçidini genel IP adresleri yerine bu bağlantı için ağ geçidindeki hub adres aralığındaki özel IP adreslerini kullanacak şekilde yapılandırılır. Bu, şirket içi ağdan gelen trafiğin bu VPN bağlantısı için genel İnternet kullanmak yerine ExpressRoute özel eşleme yollarında dolaşmasını sağlar.

  6. Ayarları güncelleştirmek için Oluştur'a tıklayın. Ayarlar oluşturulduktan sonra merkez VPN ağ geçidi, ExpressRoute üzerinden şirket içi VPN cihazıyla IPsec/IKE bağlantıları kurmak için VPN ağ geçidindeki özel IP adreslerini kullanır.

4. Merkez VPN ağ geçidi için özel IP adreslerini alma

Hub VPN ağ geçidinin özel IP adreslerini almak için VPN cihaz yapılandırmasını indirin. Şirket içi VPN cihazını yapılandırmak için bu adreslere ihtiyacınız vardır.

  1. Hub'ınızın sayfasında Bağlantı'nın altında VPN (Siteden Siteye) öğesini seçin.

  2. Genel Bakış sayfasının üst kısmında VPN Config'i İndir'i seçin.

    Azure, "microsoft-network-[location]" kaynak grubunda bir depolama hesabı oluşturur; burada konum WAN'ın konumudur. Yapılandırmayı VPN cihazlarınıza uyguladıktan sonra bu depolama hesabını silebilirsiniz.

  3. Dosya oluşturulduktan sonra, indirmek için bağlantıyı seçin.

  4. Yapılandırmayı VPN cihazınıza uygulayın.

VPN cihazı yapılandırma dosyası

Cihaz yapılandırma dosyası, şirket içi VPN cihazınızı yapılandırırken kullanılacak ayarları içerir. Bu dosyayı görüntülediğinizde aşağıdaki bilgilere dikkat edin:

  • vpnSiteConfiguration: Bu bölüm, sanal WAN'a bağlanan bir site olarak ayarlanan cihaz ayrıntılarını belirtir. Dal cihazının adını ve genel IP adresini içerir.

  • vpnSiteConnections: Bu bölüm aşağıdaki ayarlar hakkında bilgi sağlar:

    • Sanal hub'ın sanal ağının adres alanı.
      Örnek: "AddressSpace":"10.51.230.0/24"
    • Hub'a bağlı sanal ağların adres alanı.
      Örnek: "ConnectedSubnets":["10.51.231.0/24"]
    • Sanal hub'ın VPN ağ geçidinin IP adresleri. VPN ağ geçidinin her bağlantısı etkin-etkin yapılandırmasında iki tünelden oluştuğundan, her iki IP adresinin de bu dosyada listelendiğini görürsünüz. Bu örnekte, her site için ve Instance1 görürsünüz Instance0 ve bunlar genel IP adresleri yerine özel IP adresleridir.
      Örnek: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • BGP ve önceden paylaşılan anahtar gibi VPN ağ geçidi bağlantısı için yapılandırma ayrıntıları. Önceden paylaşılan anahtar sizin için otomatik olarak oluşturulur. Önceden paylaşılan özel bir anahtar için genel bakış sayfasında bağlantıyı istediğiniz zaman düzenleyebilirsiniz.

Örnek cihaz yapılandırma dosyası

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

VPN cihazınızı yapılandırma

Cihazınızı yapılandırma yönergelerine ihtiyaç duyarsanız VPN cihazı yapılandırma betikleri sayfasındaki yönergeleri aşağıdaki uyarılarla birlikte kullanabilirsiniz:

  • VPN cihazı sayfasındaki yönergeler sanal WAN için yazılmamıştır. Ancak VPN cihazınızı el ile yapılandırmak için yapılandırma dosyasındaki sanal WAN değerlerini kullanabilirsiniz.
  • YAPıLANDıRMA farklı olduğundan VPN ağ geçidine yönelik indirilebilir cihaz yapılandırma betikleri sanal WAN için çalışmaz.
  • Yeni bir sanal WAN hem IKEv1'i hem de IKEv2'i destekleyebilir.
  • Sanal WAN yalnızca rota tabanlı VPN cihazları ve cihaz yönergelerini kullanabilir.

5. Sanal WAN'ınızı görüntüleme

  1. Sanal WAN'a gidin.
  2. Genel Bakış sayfasında, haritadaki her nokta bir hub'ı temsil eder.
  3. Hub'lar ve bağlantılar bölümünde hub, site, bölge ve VPN bağlantı durumunu görüntüleyebilirsiniz. Ayrıca, içeri ve dışarı baytları da görüntüleyebilirsiniz.

6. Bağlantıyı izleme

Azure sanal makinesi (VM) ile uzak site arasındaki iletişimi izlemek için bir bağlantı oluşturun. Bağlantı izleyici oluşturma hakkında bilgi almak için bkz. Ağ iletişimini izleme. Kaynak alan Azure'daki VM IP'sini, hedef IP ise site IP'sini oluşturur.

7. Kaynakları temizleme

Bu kaynaklara artık ihtiyacınız kalmadığında Remove-AzResourceGroup kullanarak kaynak grubunu ve içerdiği tüm kaynakları kaldırabilirsiniz. Aşağıdaki PowerShell komutunu çalıştırın ve değerini kaynak grubunuzun adıyla değiştirin myResourceGroup :

Remove-AzResourceGroup -Name myResourceGroup -Force

Sonraki adımlar

Bu makale, Sanal WAN kullanarak ExpressRoute özel eşlemesi üzerinden VPN bağlantısı oluşturmanıza yardımcı olur. Sanal WAN ve ilgili özellikler hakkında daha fazla bilgi edinmek için bkz. Sanal WAN genel bakış.