Planung und Implementierung des virtuellen Weitverkehrsnetzes, einschließlich eines gesicherten virtuellen Hubs

  • 7 Minuten

Ein virtuelles WAN verbindet sich mit Ihren Ressourcen in Azure über eine IPsec/IKE (IKEv1 und IKEv2) VPN-Verbindung. Für diese Art von Verbindung wird ein lokales VPN-Gerät benötigt, dem eine extern zugängliche, öffentliche IP-Adresse zugewiesen ist.

Diagramm, das eine Site-to-Site-Verbindung für ein virtuelles WAN (Wide Area Network) zeigt.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über ein Azure-Abonnement verfügen. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein kostenloses Konto registrieren.

  • Legen Sie den IP-Adressbereich fest, den Sie für den privaten Adressraum Ihres virtuellen Hubs verwenden möchten. Diese Informationen werden beim Konfigurieren Ihres virtuellen Hubs verwendet. Ein virtueller Hub ist ein virtuelles Netzwerk, das von Virtual WAN erstellt und genutzt wird. Es ist der Kern Ihres Virtual WAN-Netzwerks in einer Region. Der Adressraumbereich muss bestimmten Regeln entsprechen:

    • Der von Ihnen für den Hub angegebene Adressbereich darf sich nicht mit einem der vorhandenen virtuellen Netzwerke überlappen, mit denen Sie eine Verbindung herstellen.
    • Der Adressbereich darf nicht mit den lokalen Adressbereichen überlappen, mit denen Sie eine Verbindung herstellen.
    • Falls Sie nicht mit den IP-Adressbereichen in Ihrer lokalen Netzwerkkonfiguration vertraut sind, sollten Sie sich an eine Person wenden, die Ihnen diese Informationen zur Verfügung stellen kann.

Azure-Portal oder Azure PowerShell

Sie können entweder das Azure-Portal oder Azure PowerShell-Cmdlets verwenden, um eine Site-to-Site-Verbindung mit Azure Virtual WAN herzustellen. Die Cloud Shell ist eine kostenlose interaktive Shell, auf der gängige Azure-Tools vorinstalliert und für die Verwendung mit Ihrem Konto konfiguriert sind.

Um Cloud Shell zu öffnen, wählen Sie einfach Cloud Shell öffnen in der oberen rechten Ecke eines Codeblocks aus. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/powershell navigieren. Wählen Sie "Kopieren " aus, um die Codeblöcke zu kopieren, sie in Cloud Shell einzufügen, und wählen Sie die EINGABETASTE aus, um sie auszuführen.

Sie können die Azure PowerShell-Cmdlets auch lokal auf Ihrem Computer installieren und ausführen. PowerShell-Cmdlets werden häufig aktualisiert. Wenn Sie nicht die aktuelle Version installiert haben, kann es bei Verwendung der in den Anweisungen angegebenen Werte zu Fehlern kommen. Um die auf Ihrem Computer installierten Versionen von Azure PowerShell zu finden, verwenden Sie Get-Module -ListAvailable Az cmdlet.

Anmelden

Wenn Sie Azure Cloud Shell verwenden, werden Sie automatisch aufgefordert, sich nach dem Öffnen von Cloud Shell bei Ihrem Konto anzumelden. Sie müssen nicht Connect-AzAccount ausführen. Nach der Anmeldung können Sie die Abonnements bei Bedarf mithilfe von Get-AzSubscription und Select-AzSubscription immer noch ändern.

Wenn Sie PowerShell lokal ausführen, öffnen Sie die PowerShell-Konsole mit erhöhten Rechten und stellen Sie eine Verbindung mit Ihrem Azure-Konto her. Das Cmdlet Connect-AzAccount fordert Sie zur Eingabe von Anmeldeinformationen auf. Nachdem Sie sich authentifiziert haben, werden Ihre Kontoeinstellungen heruntergeladen, damit sie Azure PowerShell zur Verfügung stehen. Sie können das Abonnement mittels Get-AzSubscription und Select-AzSubscription -SubscriptionName "Name of subscription" ändern.

Erstellen eines virtuellen WAN

Bevor Sie ein virtuelles WAN erstellen können, müssen Sie eine Ressourcengruppe erstellen, um das virtuelle WAN zu hosten, oder eine vorhandene Ressourcengruppe verwenden. Nutzen Sie eins der folgenden Beispiele:

In diesem Beispiel wird eine neue Ressourcengruppe mit dem Namen TestRG am Standort USA, Osten erstellt. Wenn Sie stattdessen eine vorhandene Ressourcengruppe verwenden möchten, können Sie den Befehl $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup" ändern und dann die Schritte in dieser Übung mit Ihren eigenen Werten ausführen.

  1. Erstellen Sie eine Ressourcengruppe.

    New-AzResourceGroup -Location "East US" -Name "TestRG"

  2. Erstellen Sie das virtuelle WAN mithilfe des Cmdlets New-AzVirtualWan.

    $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"

Erstellen des Hubs und Konfigurieren der Hubeinstellungen

Ein Hub ist ein virtuelles Netzwerk, das Gateways für Verbindungen vom Typ „Site-to-Site“, „ExpressRoute“ oder „Point-to-Site“ enthalten kann. Erstellen Sie einen virtuellen Hub mit New-AzVirtualHub. In diesem Beispiel wird ein virtueller Standardhub mit dem Namen Hub1 mit dem angegebenen Adresspräfix und einem Standort für den Hub erstellt.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

Erstellen eines Site-to-Site-VPN-Gateways

In diesem Abschnitt erstellen Sie ein Site-to-Site-VPN-Gateway, das sich an demselben Standort wie der virtuelle Hub befindet, auf den verwiesen wird. Beim Erstellen des VPN-Gateways geben Sie die gewünschten Skalierungseinheiten an. Die Erstellung des Gateways nimmt etwa 30 Minuten in Anspruch.

  1. Wenn Sie Azure Cloud Shell geschlossen haben oder die Verbindung ein Timeout aufweist, müssen Sie möglicherweise die Variable für $virtualHub erneut deklarieren.

    $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"

  2. Erstellen Sie mit dem Cmdlet New-AzVpnGateway ein VPN-Gateway.

    New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2

  3. Sobald das VPN-Gateway erstellt wurde, können Sie es mithilfe des folgenden Beispiels anzeigen.

    Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

Erstellen eines Standorts und von Verbindungen

In diesem Abschnitt erstellen Sie Standorte, die Ihren physischen Standorten und den Verbindungen entsprechen. Diese Standorte enthalten Ihre lokalen VPN-Geräteendpunkte. Sie können bis zu 1.000 Standorte pro virtuellem Hub in einem virtuellen WAN erstellen. Bei mehreren Hubs ist die Erstellung von 1.000 Standorten pro Hub möglich.

  1. Legen Sie die Variable für das VPN-Gateway und für den IP-Adressraum Ihres lokalen Standorts fest. Der Datenverkehr, der für diesen Adressraum bestimmt ist, wird an Ihre lokale Site geleitet. Dies ist erforderlich, wenn BGP für den Standort nicht aktiviert ist.

    $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSiteAddressSpaces = New-Object string[] 2
$vpnSiteAddressSpaces[0] = "192.168.2.0/24"
$vpnSiteAddressSpaces[1] = "192.168.3.0/24"

  2. Erstellen Sie Verbindungen, um Informationen zu den physischen Verbindungen an der Zweigstelle einschließlich Metadaten zu Verbindungsgeschwindigkeit, Name des Verbindungsanbieters und die öffentliche IP-Adresse des lokalen Geräts.

    $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"

$vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"

  3. Erstellen Sie den VPN-Standort und verweisen Sie dabei auf die Variablen der gerade erstellten VPN-Websitelinks. Wenn Sie Azure Cloud Shell geschlossen haben oder die Verbindung ein Timeout aufweist, deklarieren Sie die Variable des virtuellen WAN erneut:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"

    Erstellen Sie die VPN-Website mithilfe des Cmdlets New-AzVpnSite.

    $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)

  4. Erstellen Sie die Standortlinkverbindung. Die Verbindung besteht aus zwei aktiv-aktiven Tunneln von einer Zweigstelle/einem Standort bis zum skalierbaren Gateway.

    $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100

$vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10

Herstellen einer Verbindung von der VPN-Site mit dem Hub

  1. Bevor Sie den Befehl ausführen, müssen Sie möglicherweise die folgenden Variablen erneut definieren:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"

  2. Stellen Sie eine Verbindung von der VPN-Website mit dem Hub her.

    New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)

Verbinden eines VNet mit Ihrem Hub

Der nächste Schritt besteht darin, den Hub mit dem VNet zu verbinden. Wenn Sie eine neue Ressourcengruppe für diese Übung erstellt haben, verfügen Sie in der Regel noch nicht über ein virtuelles Netzwerk (VNet) in Ihrer Ressourcengruppe. Die folgenden Schritte helfen Ihnen beim Erstellen eines VNet, falls Sie noch nicht über eines verfügen. Dann können Sie eine Verbindung zwischen dem Hub und Ihrem VNet herstellen.

Erstellen eines virtuellen Netzwerks

Sie können die folgenden Beispielwerte verwenden, um ein VNet zu erstellen. Ersetzen Sie unbedingt die Werte in den Beispielen durch die Werte, die Sie für Ihre Umgebung verwendet haben.

  1. Erstellen eines VNET

    $vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet

  2. Geben Sie die Subnetzeinstellungen an.

    $subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

  3. Richten Sie das VNet ein.

    $virtualNetwork | Set-AzVirtualNetwork

Verbinden eines VNET mit einem Hub

Mit den folgenden Schritten können Sie Ihr virtuelles Netzwerk mithilfe von PowerShell mit Ihrem virtuellen Hub verbinden. Sie können diese Aufgabe auch über das Azure-Portal abschließen. Wiederholen Sie diese Schritte für jedes VNET, mit dem Sie eine Verbindung herstellen möchten.

Beachten Sie vor dem Erstellen einer Verbindung Folgendes:

  • Ein virtuelles Netzwerk kann nur mit jeweils einem virtuellen Hub verbunden werden.
  • Zum Herstellen einer Verbindung mit einem virtuellen Hub darf das virtuelle Remotenetzwerk kein Gateway aufweisen.
  • Einige Konfigurationseinstellungen, wie z. B. das Weitergeben statischer Routen, können derzeit nur im Azure-Portal konfiguriert werden.

Wenn VPN-Gateways im virtuellen Hub vorhanden sind, kann dieser Vorgang – wie auch jeder andere Schreibvorgang – auf dem verbundenen VNet die Trennung von Point-to-Site-Clients wie auch die erneute Verbindung von Site-to-Site-Tunneln und BGP (Border Gateway Protocol)-Sitzungen verursachen.

Verbindung hinzufügen

  1. Deklarieren Sie die Variablen für die vorhandenen Ressourcen, einschließlich des vorhandenen virtuellen Netzwerks.

    $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"

  2. Erstellen Sie eine Verbindung für das Peering des virtuellen Netzwerks mit dem virtuellen Hub.

    New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork

Konfigurieren eines VPN-Geräts

Herunterladen der VPN-Konfiguration

Verwenden Sie die VPN-Gerätekonfigurationsdatei, um Ihr lokales VPN-Gerät zu konfigurieren. Hier sind die grundlegenden Schritte:

  1. Wechseln Sie auf Ihrer Virtual WAN-Seite zur Seite Hubs ->Ihr virtueller Hub ->VPN (Site-to-Site).

  2. Klicken Sie oben auf der Seite VPN (Site-to-Site) auf VPN-Konfiguration herunterladen. Mehrere Meldungen werden angezeigt, während Azure ein neues Speicherkonto in der Ressourcengruppe „microsoft-network-[location]“ erstellt. „location“ steht dabei für den Standort des WAN. Sie können auch ein vorhandenes Speicherkonto hinzufügen, indem Sie auf „Vorhandenes verwenden“ klicken und eine gültige SAS-URL mit aktivierten Schreibrechten hinzufügen.

  3. Klicken Sie nach der Erstellung der Datei auf den Link, um sie herunterzuladen. Dadurch wird eine neue Datei mit VPN-Konfiguration am angegebenen SAS-URL-Speicherort erstellt.

  4. Wenden Sie die Konfiguration auf Ihr lokales VPN-Gerät an. Weitere Informationen finden Sie in diesem Abschnitt unter Konfigurieren Ihres VPN-Geräts.

  5. Nach dem Anwenden der Konfiguration auf Ihre VPN-Geräte müssen Sie das von Ihnen erstellte Speicherkonto nicht beibehalten.

    • Adressraum des virtuellen Netzwerks der virtuellen Hubs

      • Beispiel:

        • "AddressSpace":"10.1.0.0/24"

    • Adressraum der virtuellen Netzwerke, die mit dem virtuellen Hub verbunden sind.

      • Beispiel:

        • "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • IP-Adressraum des virtuellen Hubs „vpngateway“. Da jede vpngateway-Verbindung aus zwei Tunneln mit Aktiv-Aktiv-Konfiguration besteht, werden in dieser Datei beide IP-Adressen aufgelistet. In diesem Beispiel werden für jede Site „Instance0“ und „Instance1“ angezeigt.

      • Beispiel:

        • "Instance0":"nnn.nn.nn.nnn"
        • "Instance1":"nnn.nn.nn.nnn"

    • Öffentliche IP-Adresse: Von Azure zugewiesen

    • Privae IP-Adresse: Von Azure zugewiesen

    • BGP-IP-Standardadresse: Von Azure zugewiesen

    • Benutzerdefinierte BGP-IP-Adresse: Dieses Feld ist für APIPA (Automatic Private IP Addressing) reserviert. Azure unterstützt BGP-IP-Adressen in den Bereichen „169.254.21.*“ und „169.254.22.*“. Azure akzeptiert BGP-Verbindungen in diesen Bereichen, wählt jedoch die Verbindung mit der standardmäßigen BGP-IP-Adresse. Benutzer können mehrere benutzerdefinierte BGP-IP-Adressen für jede Instanz angeben. Dieselbe benutzerdefinierte BGP-IP-Adresse sollte nicht für beide Instanzen verwendet werden.

VPN-Gerätekonfigurationsdatei

Die Gerätekonfigurationsdatei enthält die Einstellungen, die beim Konfigurieren Ihrer lokalen VPN-Geräte verwendet werden. Beachten Sie beim Anzeigen dieser Datei die folgenden Informationen:

  • vpnSiteConfiguration – In diesem Abschnitt sind die Gerätedetails für die Einrichtung einer Site angegeben, die eine Verbindung mit dem virtuellen WAN herstellt. Hierzu gehören der Name und die öffentliche IP-Adresse des Zweigstellengeräts.

vpnSiteConnections: Dieser Abschnitt enthält die folgenden Einstellungen:

  • Details zur Konfiguration der VPN-Gateway-Verbindung, z. B. BGP, vorinstallierter Schlüssel usw. Der vorinstallierte Schlüssel (Pre-Shared Key, PSK) wird automatisch für Sie erstellt. Sie können die Verbindung für einen benutzerdefinierten PSK (Pre-Shared Key) jederzeit auf der Seite Übersicht bearbeiten.

Beispiel für Gerätekonfigurationsdatei

{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }

Konfigurieren Ihres VPN-Geräts

Hinweis

Wenn Sie mit einer Virtual WAN-Partnerlösung arbeiten, wird die VPN-Gerätekonfiguration automatisch durchgeführt. Der Gerätecontroller ruft die Konfigurationsdatei aus Azure ab und wendet sie auf das Gerät an, um die Verbindung mit Azure einzurichten. Dies bedeutet, dass Sie nicht wissen müssen, wie Sie Ihr VPN-Gerät manuell konfigurieren.

Anzeigen oder Bearbeiten von Gatewayeinstellungen

Sie können Ihre VPN-Gatewayeinstellungen jederzeit anzeigen und bearbeiten. Wechseln Sie zu Ihrem Virtuellen HUB ->VPN (Site-to-Site), und wählen Sie Anzeigen/Konfigurieren aus.

Screenshot, der zeigt, wie Einstellungen Ihres VPN (Virtual Private Network)-Gateways auf der Konfigurationsseite des virtuellen Hubs angezeigt und bearbeitet werden.

Auf der Seite VPN-Gateway bearbeiten werden die folgenden Einstellungen angezeigt:

Screenshot, der zeigt, wie Einstellungen für das virtuelle private Netzwerkgateway bearbeitet werden.