Implémenter le chiffrement sur ExpressRoute

  • 7 minutes

Déployez Azure Virtual WAN pour établir une connexion VPN IPsec/IKE à partir de votre réseau local vers Azure via le peering privé d’un circuit Azure ExpressRoute. Cette technique peut fournir un transit chiffré entre les réseaux locaux et les réseaux virtuels Azure via ExpressRoute, sans passer par Internet public ou à l’aide d’adresses IP publiques.

Topologie et routage

Diagramme montrant un exemple de topologie et de routage d’itinéraires Express Azure.

Le diagramme montre un réseau au sein du réseau local connecté à la passerelle VPN du hub Azure via le peering privé ExpressRoute. L’établissement de connectivité est simple :

  1. Établir une connectivité ExpressRoute avec un circuit ExpressRoute et un Peering privé.
  2. Établissez la connectivité VPN comme décrit dans l’exemple.

Un aspect important de cette configuration est le routage entre les réseaux locaux et Azure sur les chemins ExpressRoute et VPN.

Trafic à partir de réseaux locaux vers Azure

Pour le trafic des réseaux locaux vers Azure, les préfixes Azure (y compris le hub virtuel et tous les réseaux virtuels spoke connectés au hub) sont publiés via le protocole BGP de peering privé ExpressRoute et le protocole BGP VPN. Cela entraîne deux itinéraires réseau (chemins) vers Azure à partir des réseaux locaux :

  • Un sur le chemin d’accès protégé par IPsec
  • Un directement sur ExpressRoute sans protection IPsec

Pour appliquer le chiffrement à la communication, vous devez vous assurer que pour le réseau connecté par VPN dans le diagramme, les itinéraires Azure via la passerelle VPN locale sont préférés par rapport au chemin ExpressRoute direct.

Trafic d’Azure vers des réseaux locaux

La même exigence s’applique au trafic d’Azure vers des réseaux locaux. Pour vous assurer que le chemin IPsec est préféré au chemin ExpressRoute direct (sans IPsec), vous avez deux options :

Publiez des préfixes plus spécifiques dans la session BGP du VPN pour le réseau connecté au VPN. Vous pouvez publier une plus grande plage qui englobe le réseau connecté par VPN via le peering privé ExpressRoute, puis des plages plus spécifiques dans la session BGP VPN. Par exemple, publiez 10.0.0.0/16 sur ExpressRoute et 10.0.1.0/24 sur VPN.

Publiez des préfixes disjoints pour VPN et ExpressRoute. Si les plages de réseaux connectés par VPN sont disjointes d’autres réseaux connectés par ExpressRoute, vous pouvez publier les préfixes respectivement dans les sessions VPN et BGP ExpressRoute. Par exemple, publiez 10.0.0.0/24 sur ExpressRoute et 10.0.1.0/24 sur VPN.

Dans ces deux exemples, Azure envoie du trafic vers 10.0.1.0/24 via la connexion VPN plutôt que directement via ExpressRoute sans protection VPN.

Avant de commencer

Avant de démarrer votre configuration, vérifiez que vous répondez aux critères suivants :

  • Si vous disposez déjà d’un réseau virtuel auquel vous souhaitez vous connecter, vérifiez qu’aucun des sous-réseaux de votre réseau local ne se chevauche avec celui-ci. Votre réseau virtuel ne nécessite pas de sous-réseau de passerelle et ne peut pas avoir de passerelles de réseau virtuel. Si vous n’avez pas de réseau virtuel, vous pouvez en créer un à l’aide des étapes décrites dans cet article.
  • Obtenez une plage d’adresses IP pour votre région hub. Le hub est un réseau virtuel et la plage d’adresses que vous spécifiez pour la région hub ne peut pas chevaucher un réseau virtuel existant auquel vous vous connectez. Il ne peut pas non plus chevaucher les plages d’adresses auxquelles vous vous connectez localement. Si vous n’êtes pas familiarisé avec les plages d’adresses IP situées dans votre configuration réseau locale, coordonnez-vous avec une personne qui peut fournir ces détails.
  • Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

1. Créer un wan virtuel et un hub avec des passerelles

Les ressources Azure suivantes et les configurations locales correspondantes doivent être en place avant de continuer :

  • Un WAN virtuel Azure.
  • Hub virtual WAN avec expressRoute et passerelle de réseau privé virtuel.

2. Créer un site pour le réseau local

La ressource de site est identique aux sites VPN non ExpressRoute pour un réseau étendu virtuel. L’adresse IP de l’appareil VPN local peut désormais être une adresse IP privée ou une adresse IP publique dans le réseau local accessible via la configuration de peering privé ExpressRoute créée précédemment.

  1. Accédez à Votre WAN virtuel, sites VPN et créez un site pour votre réseau local. Gardez à l’esprit les valeurs de paramètres suivantes :

    • Protocole de passerelle de bordure : sélectionnez « Activer » si votre réseau local utilise le protocole BGP.
    • Espace d’adressage privé : entrez l’espace d’adressage IP situé sur votre site local. Le trafic destiné à cet espace d’adressage est acheminé vers le réseau local via la passerelle VPN.

  2. Sélectionnez Liens pour ajouter des informations sur les liens physiques. Gardez à l’esprit les informations suivantes sur les paramètres :

    • Nom du fournisseur : nom du fournisseur de services Internet pour ce site. Pour un réseau local ExpressRoute, il s’agit du nom du fournisseur de services ExpressRoute.
    • Vitesse : vitesse du lien de service Internet ou circuit ExpressRoute.
    • Adresse IP : adresse IP publique de l’appareil VPN qui réside sur votre site local. Ou, pour ExpressRoute localement, il s’agit de l’adresse IP privée de l’appareil VPN via ExpressRoute.
    • Si le protocole BGP est activé, il s’applique à toutes les connexions créées pour ce site dans Azure. La configuration de BGP sur un réseau étendu virtuel équivaut à configurer BGP sur une passerelle VPN Azure.
    • Votre adresse homologue BGP locale ne doit pas être identique à l’adresse IP de votre VPN sur l’appareil ou à l’espace d’adressage du réseau virtuel du site VPN. Utilisez une autre adresse IP sur l’appareil VPN pour votre adresse IP d’homologue BGP. Il peut s’agir d’une adresse affectée à l’interface de loopback sur l’appareil. Toutefois, il ne peut pas s’agir d’une adresse APIPA (169.254.x.x). Spécifiez cette adresse dans le site VPN correspondant qui représente l’emplacement.

  3. Sélectionnez Suivant : Passez en revue + créez pour vérifier les valeurs de paramètre et créer le site VPN, puis Créer le site.

  4. Ensuite, connectez le site au hub. La mise à jour de la passerelle peut prendre jusqu’à 30 minutes.

3. Mettez à jour le paramètre de connexion VPN pour utiliser ExpressRoute

Après avoir créé le site VPN et connecté au hub, procédez comme suit pour configurer la connexion pour utiliser le peering privé ExpressRoute :

  1. Accédez au hub virtuel. Pour ce faire, accédez à Virtual WAN et sélectionnez le hub pour ouvrir la page hub, ou vous pouvez accéder au hub virtuel connecté à partir du site VPN.

  2. Sous Connectivité, sélectionnez VPN (site à site).

  3. Sélectionnez les points de suspension () ou cliquez avec le bouton droit de la souris sur le site VPN par ExpressRoute, puis Modifier la connexion VPN à ce hub.

  4. Dans la page Informations de base, conservez les valeurs par défaut.

  5. Dans la page Lier la connexion 1, configurez les paramètres suivants :

    • Pour Utiliser l’adresse IP privée Azure, sélectionnez Oui. Le paramètre configure la passerelle VPN hub pour qu’elle utilise des adresses IP privées dans la plage d’adresses du hub sur la passerelle pour cette connexion, au lieu des adresses IP publiques. Cela garantit que le trafic provenant du réseau local traverse les chemins d’accès de peering privé ExpressRoute plutôt que d’utiliser l’Internet public pour cette connexion VPN.

  6. Cliquez sur Créer pour mettre à jour les paramètres. Une fois les paramètres créés, la passerelle VPN hub utilise les adresses IP privées sur la passerelle VPN pour établir les connexions IPsec/IKE avec l’appareil VPN local via ExpressRoute.

4. Obtenir les adresses IP privées pour la passerelle VPN hub

Téléchargez la configuration de l’appareil VPN pour obtenir les adresses IP privées de la passerelle VPN hub. Vous avez besoin de ces adresses pour configurer l’appareil VPN local.

  1. Sur la page de votre hub, sélectionnez VPN (site à site) sous Connectivité.
  2. En haut de la page Vue d’ensemble, sélectionnez Télécharger la configuration VPN. Azure crée un compte de stockage dans le groupe de ressources « microsoft-network-[emplacement] », où emplacement est l’emplacement du WAN. Après avoir appliqué la configuration à vos appareils VPN, vous pouvez supprimer ce compte de stockage.
  3. Une fois le fichier créé, sélectionnez le lien pour le télécharger.
  4. Appliquez la configuration à votre appareil VPN.

Fichier de configuration d’appareil VPN

Le fichier de configuration de l’appareil contient les paramètres à utiliser lorsque vous configurez votre appareil VPN local. Lorsque vous affichez ce fichier, notez les informations suivantes :

  • vpnSiteConfiguration : cette section indique la configuration des détails de l’appareil en tant que site qui se connecte au WAN virtuel. Il inclut le nom et l’adresse IP publique de l’appareil de branche.

  • vpnSiteConnections : cette section fournit des informations sur les paramètres suivants :

    • Espace d’adressage du réseau virtuel du hub virtuel.
      Exemple : "AddressSpace":"10.51.230.0/24"
    • Espace d’adressage des réseaux virtuels connectés au hub.
      Exemple : "ConnectedSubnets":["10.51.231.0/24"]
    • Adresses IP de la passerelle VPN du hub virtuel. Étant donné que chaque connexion de la passerelle VPN est composée de deux tunnels dans la configuration active-active, vous verrez les deux adresses IP répertoriées dans ce fichier. Dans cet exemple, vous voyez Instance0 et Instance1 pour chaque site, et il s’agit d’adresses IP privées au lieu d’adresses IP publiques.
      Exemple : "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Détails de configuration pour la connexion de passerelle VPN, telles que BGP et clé prépartagée. La clé prépartage est générée automatiquement pour vous. Vous pouvez toujours modifier la connexion sur la page Vue d’ensemble pour une clé prépartagée personnalisée.

Configuration de votre appareil VPN

Si vous avez besoin d’instructions pour configurer votre appareil, vous pouvez utiliser les instructions de la page scripts de configuration d’appareil VPN avec les avertissements suivants :

  • Les instructions de la page d’appareil VPN ne sont pas écrites pour un réseau étendu virtuel. Toutefois, vous pouvez utiliser les valeurs virtual WAN à partir du fichier de configuration pour configurer manuellement votre appareil VPN.
  • Les scripts de configuration d’appareil téléchargeables pour la passerelle VPN ne fonctionnent pas pour le wan virtuel, car la configuration est différente.
  • Un nouveau réseau étendu virtuel peut prendre en charge IKEv1 et IKEv2.
  • Le WAN virtuel peut uniquement utiliser des périphériques VPN basés sur un itinéraire et des instructions de périphérique.

5. Afficher votre wan virtuel

  1. Accédez au wan virtuel.
  2. Sur la page vue d’ensemble, chaque point de la carte représente un hub.
  3. Dans la section Hubs et connexions, vous pouvez afficher l’état du hub, du site, de la région et de la connexion VPN. Vous pouvez également afficher les octets entrants et sortants.

6. Surveiller une connexion

Créez une connexion pour surveiller la communication entre une machine virtuelle Azure et un site distant.