ExpressRoute şifrelemesi: sanal WAN için ExpressRoute üzerinden IPSec

Bu makalede, Azure sanal WAN kullanarak Azure ExpressRoute bağlantı hattının özel eşlemesi aracılığıyla şirket içi ağınızdan Azure 'a bir IPSec/ıKE VPN bağlantısı kurma konusu gösterilmektedir. Bu teknik, genel İnternet üzerinden veya genel IP adreslerini kullanarak ExpressRoute üzerinden şirket içi ağlar ve Azure sanal ağları arasında şifrelenmiş bir aktarım sağlayabilir.

Topoloji ve yönlendirme

Aşağıdaki diyagramda ExpressRoute özel eşlemesi üzerinden VPN bağlantısı örneği gösterilmektedir:

ExpressRoute üzerinden VPN

Diyagramda, ExpressRoute özel eşlemesi üzerinden Azure hub VPN Gateway 'e bağlı şirket içi ağ içindeki bir ağ gösterilmektedir. Bağlantı kurma basittir:

  1. ExpressRoute devresi ve özel eşleme ile ExpressRoute bağlantısı kurun.
  2. Bu makalede açıklandığı gibi VPN bağlantısı kurun.

Bu yapılandırmanın önemli bir yönü, hem ExpressRoute hem de VPN yolları üzerinde şirket içi ağlar ve Azure arasında yönlendirbir yoldur.

Şirket içi ağlardan Azure 'a trafik

Şirket içi ağlardan Azure 'a giden trafik için, Azure önekleri (sanal hub ve hub 'a bağlı olan tüm bağlı bileşen sanal ağları dahil), hem ExpressRoute özel eşleme BGP hem de VPN BGP aracılığıyla tanıtılabilir. Bu, şirket içi ağlardan Azure 'a yönelik iki ağ yolu (yollar) ile sonuçlanır:

  • IPsec korumalı yoldan biri
  • IPSec koruması olmadan doğrudan ExpressRoute üzerinden bir tane

İletişime şifreleme uygulamak için, diyagramdaki VPN bağlantılı ağ için, şirket içi VPN ağ geçidi üzerinden Azure yollarının doğrudan ExpressRoute yolu üzerinden tercih edildiğini doğrulayın.

Azure 'dan şirket içi ağlara giden trafik

Aynı gereksinim, Azure 'dan şirket içi ağlara giden trafiğe de yöneliktir. IPSec yolunun doğrudan ExpressRoute yolu (IPSec olmadan) üzerinden tercih edildiğini sağlamak için iki seçeneğiniz vardır:

  • VPN bağlantılı ağ için VPN BGP oturumunda daha özel ön ekler duyurur. ExpressRoute özel eşlemesi üzerinden VPN bağlantılı ağı kapsayan daha büyük bir Aralık verebilir ve ardından VPN BGP oturumunda daha belirgin aralıklar sağlayabilirsiniz. Örneğin, ExpressRoute üzerinden 10.0.0.0/16, VPN üzerinden 10.0.1.0/24 duyurusunu yapın.

  • VPN ve ExpressRoute için kopuk ön ekleri tanıtma. VPN bağlantılı ağ aralıkları diğer ExpressRoute bağlantılı ağlardan ayrılarıysa, ön ekleri VPN ve ExpressRoute BGP oturumlarındaki tanıtabilirsiniz. Örneğin, ExpressRoute üzerinden 10.0.0.0/24, VPN üzerinden 10.0.1.0/24 duyurusunu yapın.

Bu örneklerde, Azure, VPN koruması olmadan doğrudan ExpressRoute üzerinden değil, VPN bağlantısı üzerinden 10.0.1.0/24 ' e trafik gönderir.

Uyarı

Aynı önekleri hem ExpressRoute hem de VPN bağlantıları üzerinden tanıyorsanız Azure, doğrudan VPN koruması olmadan ExpressRoute yolunu kullanır.

Başlamadan önce

Yapılandırmanıza başlamadan önce aşağıdaki ölçütleri karşıladığınızdan emin olun:

  • Bağlanmak istediğiniz sanal ağınız zaten varsa, şirket içi ağınızın alt ağlarının hiçbirinin onunla çakışmadığından emin olun. Sanal ağınız için bir ağ geçidi alt ağı gerekli değildir ve sanal ağ geçitleri olamaz. Bir sanal ağınız yoksa, bu makaledeki adımları kullanarak bir tane oluşturabilirsiniz.
  • Hub bölgenizden bir IP adresi aralığı edinin. Hub bir sanal ağ ve Merkez bölgesi için belirttiğiniz adres aralığı, bağlandığınız mevcut bir sanal ağ ile çakışamaz. Ayrıca, şirket içine bağlandığınız adres aralıklarıyla de çakışamaz. Şirket içi ağ yapılandırmanızda bulunan IP adresi aralıklarını bilmiyorsanız, sizin için bu ayrıntıları sağlayabilecek biriyle koordine edin.
  • Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

1. ağ geçitleri ile sanal bir WAN ve hub oluşturma

Devam etmeden önce aşağıdaki Azure kaynakları ve ilgili şirket içi yapılandırmaların yerinde olması gerekir:

Azure sanal WAN ve ExpressRoute ilişkilendirmesi içeren bir hub oluşturma adımları için bkz. Azure sanal WAN kullanarak ExpressRoute Ilişkilendirmesi oluşturma. Sanal WAN 'da VPN Gateway oluşturma adımları için bkz. Azure sanal WAN kullanarak siteden siteye bağlantı oluşturma.

2. Şirket içi ağ için bir site oluşturun

Site kaynağı, sanal bir WAN için ExpressRoute VPN siteleri ile aynıdır. Şirket içi VPN cihazının IP adresi artık özel bir IP adresi veya 1. adımda oluşturulan ExpressRoute özel eşlemesi aracılığıyla erişilebilen şirket içi ağda genel bir IP adresi olabilir.

Not

Şirket içi VPN cihazının IP adresi, Azure ExpressRoute özel eşlemesi aracılığıyla sanal WAN hub 'ına tanıtılan adres öneklerinin bir parçası olmalıdır .

  1. Tarayıcınızda Azure portal gidin.

  2. Oluşturduğunuz hub 'ı seçin. Sanal WAN hub 'ı sayfasında, bağlantı altında VPN siteleri' ni seçin.

  3. VPN siteleri sayfasında + site oluştur' u seçin.

  4. Site oluştur sayfasında aşağıdaki alanları doldurun:

    • Abonelik: aboneliği doğrulayın.
    • Kaynak grubu: kullanmak istediğiniz kaynak grubunu seçin veya oluşturun.
    • Bölge: VPN site kaynağı için Azure bölgesini girin.
    • Ad: şirket içi sitenize başvurmak istediğiniz adı girin.
    • Cihaz satıcısı: ŞIRKET içi VPN cihazının satıcısını girin.
    • Sınır Ağ Geçidi Protokolü: Şirket ıçı ağınız BGP kullanıyorsa "etkinleştir" i seçin.
    • Özel adres alanı: şirket içi SITENIZDE bulunan IP adres alanını girin. Bu adres alanına giden trafik, VPN ağ geçidi üzerinden şirket içi ağa yönlendirilir.
    • Hub 'lar: Bu VPN sitesini bağlamak için bir veya daha fazla hub seçin. Seçili hub 'larda VPN ağ geçitleri zaten oluşturulmuş olmalıdır.
  5. Ileri ' yi seçin: VPN bağlantısı ayarları için bağlantılar > :

    • Bağlantı adı: bu bağlantıya başvurmak istediğiniz ad.
    • Sağlayıcı adı: Bu sitenin Internet hizmet sağlayıcısının adı. ExpressRoute şirket içi ağ için, ExpressRoute hizmet sağlayıcısının adıdır.
    • Hız: Internet hizmet bağlantısı veya ExpressRoute bağlantı hattının hızı.
    • IP adresi: şirket içi SITENIZDE bulunan VPN CIHAZıNıN genel IP adresi. Ya da şirket içi ExpressRoute için, ExpressRoute aracılığıyla VPN cihazının özel IP adresidir.

    BGP etkinse, Azure 'da bu site için oluşturulan tüm bağlantılara uygulanır. Sanal WAN üzerinde BGP 'yi yapılandırmak, Azure VPN ağ geçidinde BGP 'yi yapılandırmaya eşdeğerdir.

    Şirket içi BGP eş adresiniz, cihazdaki VPN 'nizin IP adresi veya VPN sitesinin sanal ağ adresi alanı ile aynı olmamalıdır. BGP eşi IP 'niz için VPN cihazında farklı bir IP adresi kullanın. Bu aygıttaki geri döngü arabirimine atanmış bir adres olabilir. Ancak, bir APIPA (169,254 ) olamaz. x. x) adresi. Bu adresi, konumu temsil eden ilgili VPN sitesinde belirtin. BGP önkoşulları için bkz. Azure VPN Gateway Ile BGP hakkında.

  6. Ileri ' yi seçin: ayar değerlerini denetlemek ve VPN sitesini oluşturmak için >+ oluştur ' u seçin. Bağlanacak hub 'ları seçtiyseniz, şirket içi ağ ve Merkez VPN ağ geçidi arasında bağlantı kurulacaktır.

3. ExpressRoute kullanmak için VPN bağlantısı ayarını güncelleştirin

VPN sitesini oluşturup hub 'a bağlandıktan sonra, bağlantıyı ExpressRoute özel eşlemesini kullanacak şekilde yapılandırmak için aşağıdaki adımları kullanın:

  1. Sanal WAN kaynak sayfasına dönün ve hub kaynağını seçin. Ya da VPN sitesinden bağlı hub 'a gidin.

    Bir hub seçin

  2. Bağlantı altında VPN (siteden siteye) seçeneğini belirleyin.

    VPN seçin (siteden siteye)

  3. ExpressRoute üzerinden VPN sitesinde üç nokta (...) simgesini SEÇIN ve VPN bağlantısını bu hub 'a Düzenle' yi seçin.

    Yapılandırma menüsünü girin

  4. Azure özel IP adresini kullan için Evet' i seçin. Bu ayar, hub VPN ağ geçidini, genel IP adresleri yerine, bu bağlantı için ağ geçidinde bulunan hub adres aralığı içinde özel IP adresleri kullanacak şekilde yapılandırır. Bu, şirket içi ağdan gelen trafiğin bu VPN bağlantısı için genel internet kullanmak yerine ExpressRoute özel eşleme yollarından geçeceğini güvence altına alır. Aşağıdaki ekran görüntüsünde Bu ayar gösterilmektedir:

    VPN bağlantısı için özel IP adresi kullanma ayarı

  5. Kaydet’i seçin.

Değişikliklerinizi kaydettikten sonra, Merkez VPN ağ geçidi, ExpressRoute üzerinden şirket içi VPN cihazıyla IPSec/ıKE bağlantıları kurmak için VPN ağ geçidinde özel IP adreslerini kullanır.

4. hub VPN Gateway için özel IP adreslerini alın

Hub VPN ağ geçidinin özel IP adreslerini almak için VPN cihaz yapılandırmasını indirin. Şirket içi VPN cihazını yapılandırmak için bu adreslere ihtiyacınız vardır.

  1. Hub 'ınızın sayfasında, bağlantı altında VPN (siteden siteye) seçeneğini belirleyin.

  2. Genel bakış sayfasının en üstünde VPN yapılandırmasını indir' i seçin.

    Azure, "Microsoft-Network-[location]" kaynak grubunda, KONUMUN WAN konumunun bulunduğu bir depolama hesabı oluşturur. Yapılandırmayı VPN cihazlarınıza uyguladıktan sonra, bu depolama hesabını silebilirsiniz.

  3. Dosya oluşturulduktan sonra, indirmek için bağlantıyı seçin.

  4. Yapılandırmayı VPN cihazınıza uygulayın.

VPN cihazı yapılandırma dosyası

Cihaz yapılandırma dosyası, şirket içi VPN cihazınızı yapılandırırken kullanılacak ayarları içerir. Bu dosyayı görüntülediğinizde aşağıdaki bilgilere dikkat edin:

  • vpnSiteConfiguration: Bu bölüm, sanal WAN'a bağlanan bir site olarak ayarlanmış cihaz ayrıntılarını gösterir. Dal aygıtının adını ve genel IP adresini içerir.

  • vpnSiteConnections: Bu bölüm aşağıdaki ayarlar hakkında bilgi sağlar:

    • Sanal hub'ın sanal ağının adres alanı.
      Örnek: "AddressSpace":"10.51.230.0/24"
    • Hub'a bağlı sanal ağların adres alanı.
      Örnek: "ConnectedSubnets":["10.51.231.0/24"]
    • Sanal merkezin VPN ağ geçidinin IP adresleri. VPN ağ geçidinin her bağlantısı etkin-etkin yapılandırmada iki tünelden oluşan olduğundan, bu dosyada her iki IP adresinin de listelenmiş olduğunu görüyorsunuz. Bu örnekte, her site Instance0 Instance1 için ve'yi görüyor ve bunlar genel IP adresleri yerine özel IP adresleri.
      Örnek: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • VPN ağ geçidi bağlantısı için BGP ve önceden paylaşılan anahtar gibi yapılandırma ayrıntıları. Önceden paylaşılan anahtar sizin için otomatik olarak oluşturulur. Özel bir önceden paylaşılan anahtar için Genel Bakış sayfasında bağlantıyı istediğiniz zaman düzenleyebilirsiniz.

Örnek cihaz yapılandırma dosyası

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

VPN cihazınızı yapılandırma

Cihazınızı yapılandırma yönergelerine ihtiyaç duyarsanız VPN cihazı yapılandırma betikleri sayfasındaki yönergeleri aşağıdaki uyarılarla birlikte kullanabilirsiniz:

  • VPN cihazı sayfasındaki yönergeler sanal WAN için yazılamaz. Ancak VPN cihazınızı el ile yapılandırmak için yapılandırma dosyasındaki sanal WAN değerlerini kullanabilirsiniz.
  • VPN ağ geçidi için indirilebilir cihaz yapılandırma betikleri, yapılandırma farklı olduğundan sanal WAN için çalışmaz.
  • Yeni bir sanal WAN hem IKEv1 hem de IKEv2'i destekleyebildi.
  • Sanal WAN yalnızca rota tabanlı VPN cihazlarını ve cihaz yönergelerini kullanabilir.

5. Sanal WAN'nızı görüntüleme

  1. Sanal WAN'a gidin.
  2. Genel Bakış sayfasında, haritanın her noktası bir hub'ı temsil eder.
  3. Hub'lar ve bağlantılar bölümünde hub' ı, siteyi, bölgeyi ve VPN bağlantı durumunu görüntüebilirsiniz. Ayrıca, gelen ve giden baytları da görüntüabilirsiniz.

6. Bağlantıyı izleme

Azure sanal makinesi (VM) ile uzak site arasındaki iletişimi izlemek için bir bağlantı oluşturun. Bağlantı izleyici oluşturma hakkında bilgi almak için bkz. Ağ iletişimini izleme. Kaynak alan Azure'da VM IP'sini, hedef IP ise site IP'sini alır.

7. Kaynakları temizleme

Bu kaynaklara artık ihtiyacınız kalmaması için Remove-AzResourceGroup kullanarak kaynak grubunu ve içerdiği tüm kaynakları kaldırabilirsiniz. Aşağıdaki PowerShell komutunu çalıştırın ve yerine myResourceGroup kaynak grubu adının adını yazın:

Remove-AzResourceGroup -Name myResourceGroup -Force

Sonraki adımlar

Bu makale, Sanal WAN kullanarak ExpressRoute özel eşlemesi üzerinden VPN bağlantısı oluşturmanıza yardımcı olur. Sanal WAN ve ilgili özellikler hakkında daha fazla bilgi edinmek için bkz. Sanal WAN'a genel bakış.