Virtual Wide Area Network plannen en implementeren, inclusief beveiligde virtuele hub

  • 7 minuten

Een Virtual WAN maakt verbinding met uw resources in Azure via een VPN-verbinding met IPsec/IKE (IKEv1 en IKEv2). Voor dit type verbinding moet er on-premises een VPN-apparaat aanwezig zijn waaraan een extern openbaar IP-adres is toegewezen.

Diagram met een site-naar-site-verbinding voor een virtueel grootstedelijk netwerk.

Vereiste voorwaarden

  • Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

  • Bepaal het IP-adresbereik dat u wilt gebruiken voor de privéadresruimte van uw virtuele hub. Deze informatie wordt gebruikt bij het configureren van uw virtuele hub. Een virtuele hub is een virtueel netwerk dat wordt gemaakt en gebruikt door Virtual WAN. Dit vormt de kern van uw Virtual WAN-netwerk in een regio. Het adresruimtebereik moet voldoen aan bepaalde regels.

    • Het adresbereik dat u voor de hub opgeeft mag niet overlappen met een van de bestaande virtuele netwerken waarmee u verbinding wilt maken.
    • Het adresbereik mag niet overlappen met de on-premises adresbereiken waarmee u verbinding maakt.
    • Als u niet bekend bent met de IP-adresbereiken in uw on-premises netwerkconfiguratie, moet u contact opnemen met iemand die deze gegevens voor u kan verstrekken.

Azure Portal of Azure PowerShell

U kunt de Azure-portal of Azure PowerShell-cmdlets gebruiken om een site-naar-site-verbinding met Azure Virtual WAN te maken. Cloud Shell is een gratis interactieve shell waarop algemene Azure-hulpprogramma's vooraf zijn geïnstalleerd en geconfigureerd voor gebruik met uw account.

Als u Cloud Shell wilt openen, selecteert u Cloud Shell openen in de rechterbovenhoek van een codeblok. U kunt Cloud Shell ook openen op een afzonderlijk browsertabblad door naar https://shell.azure.com/powershell. Selecteer Kopiëren om de codeblokken te kopiëren, plak deze in Cloud Shell en selecteer de Enter-toets om ze uit te voeren.

U kunt ook de Azure PowerShell-cmdlets lokaal op uw computer installeren en uitvoeren. PowerShell-cmdlets worden regelmatig bijgewerkt. Als u de meest recente versie niet hebt geïnstalleerd, kunnen de waarden die in de instructies worden opgegeven, mogelijk niet werken. Als u wilt zoeken naar de versies van Azure PowerShell die op uw computer zijn geïnstalleerd, gebruikt u de Get-Module -ListAvailable Az cmdlet.

Aanmelden

Als u Azure Cloud Shell gebruikt, wordt u automatisch omgeleid om u aan te melden bij uw account nadat u Cloud Shell hebt geopend. U hoeft Connect-AzAccount niet te gebruiken. Zodra u zich hebt aangemeld, kunt u nog steeds abonnementen wijzigen met behulp van Get-AzSubscriptionen Select-AzSubscription.

Als u PowerShell lokaal uitvoert, opent u de PowerShell-console met verhoogde bevoegdheden en maakt u verbinding met uw Azure-account. De cmdlet Connect-AzAccount vraagt u om referenties. Nadat u zich hebt geverifieerd, worden uw accountinstellingen gedownload, zodat deze beschikbaar zijn voor Azure PowerShell. U kunt het abonnement wijzigen met behulp van Get-AzSubscriptionen Select-AzSubscription -SubscriptionName "Name of subscription".

Een virtueel WAN maken

Voordat u een virtueel wan kunt maken, moet u een resourcegroep maken om het virtuele wan te hosten of een bestaande resourcegroep te gebruiken. Gebruik een van de volgende voorbeelden.

In dit voorbeeld wordt een nieuwe resourcegroep met de naam TestRG gemaakt op de locatie VS - oost. Als u in plaats daarvan een bestaande resourcegroep wilt gebruiken, kunt u de $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup"opdracht wijzigen en vervolgens de stappen in deze oefening uitvoeren met behulp van uw eigen waarden.

  1. Maak een resourcegroep.

    New-AzResourceGroup -Location "East US" -Name "TestRG"

  2. Maak het virtuele wan met behulp van de cmdlet New-AzVirtualWan.

    $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"

De hub maken en hubinstellingen configureren

Een hub is een virtueel netwerk dat gateways kan bevatten voor site-naar-site-, ExpressRoute- of punt-naar-site-functionaliteit. Een virtuele hub maken met New-AzVirtualHub. In dit voorbeeld wordt een standaard virtuele hub met de naam Hub1 gemaakt met het opgegeven adresvoorvoegsel en een locatie voor de hub.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

Een site-naar-site-VPN-gateway maken

In deze sectie maakt u een site-naar-site-VPN-gateway op dezelfde locatie als de virtuele hub waarnaar wordt verwezen. Wanneer u de VPN-gateway maakt, geeft u de gewenste schaaleenheden op. Het duurt ongeveer 30 minuten voordat de gateway is gemaakt.

  1. Als u Azure Cloud Shell hebt gesloten of er een time-out optreedt voor de verbinding, moet u de variabele mogelijk opnieuw declareren voor $virtualHub.

    $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"

  2. Maak een VPN-gateway met behulp van de cmdlet New-AzVpnGateway.

    New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2

  3. Zodra uw VPN-gateway is gemaakt, kunt u deze weergeven met behulp van het volgende voorbeeld.

    Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

Een site en verbindingen maken

In deze sectie maakt u sites die overeenkomen met uw fysieke locaties en de verbindingen. Deze sites bevatten uw on-premises VPN-apparaateindpunten. U kunt maximaal 1000 sites per virtuele hub maken in een virtueel WAN. Als u meerdere hubs hebt, kunt u 1000 per hub maken.

  1. Stel de variabele in voor de VPN-gateway en voor de IP-adresruimte die zich op uw on-premises site bevindt. Verkeer dat bestemd is voor deze adresruimte wordt doorgestuurd naar uw lokale site. Dit is vereist wanneer BGP niet is ingeschakeld voor de site.

    $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSiteAddressSpaces = New-Object string[] 2
$vpnSiteAddressSpaces[0] = "192.168.2.0/24"
$vpnSiteAddressSpaces[1] = "192.168.3.0/24"

  2. Koppelingen maken om informatie over de fysieke koppelingen in de vertakking toe te voegen, inclusief metagegevens over de snelheid van de koppeling, de naam van de koppelingsprovider en het openbare IP-adres van het on-premises apparaat.

    $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"

$vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"

  3. Maak de VPN-site, die verwijst naar de variabelen van de VPN-sitekoppelingen die u zojuist hebt gemaakt. Als u Azure Cloud Shell hebt gesloten of er een time-out optreedt voor de verbinding, moet u de virtuele WAN-variabele opnieuw declareren:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"

    Maak de VPN-site met behulp van de cmdlet New-AzVpnSite.

    $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)

  4. Maak de sitekoppelingsverbinding. De verbinding bestaat uit twee actief-actief tunnels van een vestiging/site naar de schaalbare gateway.

    $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100

$vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10

De VPN-site verbinden met een hub

  1. Voordat u de opdracht uitvoert, moet u mogelijk de volgende variabelen opnieuw declareren:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"

  2. Verbind de VPN-site met de hub.

    New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)

Een VNet verbinden met uw hub

De volgende stap bestaat uit het verbinden van de hub met het VNet. Als u een nieuwe resourcegroep voor deze oefening hebt gemaakt, hebt u doorgaans nog geen virtueel netwerk (VNet) in uw resourcegroep. Met de onderstaande stappen kunt u een VNet maken als u er nog geen hebt. Vervolgens kunt u een verbinding maken tussen de hub en uw VNet.

Een virtueel netwerk maken

U kunt de volgende voorbeeldwaarden gebruiken om een VNet te maken. Zorg ervoor dat u de waarden in de voorbeelden vervangt door de waarden die u voor uw omgeving hebt gebruikt.

  1. Maak een VNet.

    $vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet

  2. Geef subnetinstellingen op.

    $subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

  3. Stel het VNet in.

    $virtualNetwork | Set-AzVirtualNetwork

Een VNet verbinden met een hub

Met de volgende stappen kunt u uw virtuele netwerk verbinden met uw virtuele hub met behulp van PowerShell. U kunt azure Portal ook gebruiken om deze taak te voltooien. Herhaal deze stappen voor elk VNet dat u wilt verbinden.

Voordat u een verbinding maakt, moet u rekening houden met het volgende:

  • Een virtueel netwerk kan slechts met één virtuele hub tegelijk worden verbonden.
  • Als u deze wilt verbinden met een virtuele hub, kan het externe virtuele netwerk geen gateway hebben.
  • Sommige configuratie-instellingen, zoals Statische route doorgeven, kunnen op dit moment alleen worden geconfigureerd in Azure Portal.

Als VPN-gateways aanwezig zijn in de virtuele hub, kunnen deze bewerking en elke andere schrijfbewerking op het verbonden VNet leiden tot verbroken verbinding met punt-naar-site-clients, evenals het opnieuw verbinden van site-naar-site-tunnels en BGP-sessies (Border Gateway Protocol ).

Een verbinding toevoegen

  1. Declareer de variabelen voor de bestaande resources, inclusief het bestaande virtuele netwerk.

    $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"

  2. Maak een verbinding om het virtuele netwerk te koppelen aan de virtuele hub.

    New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork

VPN-apparaat configureren

VPN-configuratie downloaden

Gebruik het configuratiebestand van het VPN-apparaat om uw on-premises VPN-apparaat te configureren. Dit zijn de basisstappen:

  1. Ga op de pagina Virtual WAN naar Hubs ->Your virtual hub ->VPN (Site to site) pagina.

  2. Klik boven aan de pagina VPN (site-naar-site) op VPN-configuratie downloaden. U ziet een reeks berichten wanneer Azure een nieuw opslagaccount maakt in de resourcegroep 'microsoft-network-[location]', waarbij de locatie de locatie van het WAN is. U kunt ook een bestaand opslagaccount toevoegen door te klikken op Bestaande gebruiken en een geldige SAS-URL toe te voegen waarvoor schrijfmachtigingen zijn ingeschakeld.

  3. Zodra het bestand is gemaakt, klikt u op de koppeling om het bestand te downloaden. Hiermee maakt u een nieuw bestand met VPN-configuratie op de opgegeven SAS-URL-locatie.

  4. Pas de configuratie toe op uw on-premises VPN-apparaat. Zie de configuratie van VPN-apparaten in deze sectie voor meer informatie.

  5. Nadat u de configuratie hebt toegepast op uw VPN-apparaten, hoeft u het opslagaccount dat u hebt gemaakt, niet te behouden.

    • Adresruimte van het virtuele netwerk van de virtuele hub(s).

      • Voorbeeld:

        • "AddressSpace":"10.1.0.0/24"

    • Adresruimte van de virtuele netwerken die zijn verbonden met de virtuele hub.

      • Voorbeeld:

        • "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • IP-adresruimte van de vpngateway van de virtuele hub. Omdat elke vpngateway-verbinding bestaat uit twee tunnels in een actief-actief-configuratie, ziet u beide IP-adressen in dit bestand. In dit voorbeeld ziet u 'Instance0' en 'Instance1' voor elke site.

      • Voorbeeld:

        • "Instance0":"nnn.nn.nn.nnn"
        • "Instance1":"nnn.nn.nn.nnn"

    • Openbaar IP-adres: toegewezen door Azure.

    • Privé-IP-adres: toegewezen door Azure.

    • Standaard-BGP-IP-adres: toegewezen door Azure.

    • Aangepast BGP-IP-adres: dit veld is gereserveerd voor APIPA (automatische privé-IP-adressering). Azure ondersteunt BGP-IP in de bereiken 169.254.21.* en 169.254.22.*. Azure accepteert BGP-verbindingen in dit bereik, maar zal verbinding maken met het standaard-BGP-IP-adres. Gebruikers kunnen voor elk exemplaar meerdere aangepaste BGP-IP-adressen opgeven. Hetzelfde aangepaste BGP-IP-adres mag niet worden gebruikt voor beide exemplaren.

Configuratiebestand voor VPN-apparaten

Het apparaatconfiguratiebestand bevat de instellingen die moeten worden gebruikt bij het configureren van uw on-premises VPN-apparaat. Wanneer u dit bestand bekijkt, ziet u de volgende informatie:

  • vpnSiteConfiguration: deze sectie geeft de apparaatdetails aan die zijn ingesteld als een site die verbinding maakt met het virtuele WAN. Het bevat de naam en het openbare IP-adres van het vertakkingsapparaat.

vpnSiteConnections - deze sectie bevat informatie over de volgende instellingen:

  • Configuratiedetails van vpngateway-verbinding, zoals BGP, vooraf gedeelde sleutel, enzovoort. De PSK is de vooraf gedeelde sleutel die automatisch voor u wordt gegenereerd. U kunt de verbinding altijd bewerken op de overzichtspagina voor een aangepaste vooraf gedeelde sleutel (PSK).

Voorbeeld van apparaatconfiguratiebestand

{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }

Uw VPN-apparaat configureren

Opmerking

Als u met een Azure Virtual WAN-oplossing van een partner werkt, wordt het VPN-apparaat automatisch geconfigureerd. De apparaatcontroller verkrijgt het configuratiebestand van Azure en past dit toe op het apparaat om verbinding met Azure in te stellen. Dit betekent dat u niet hoeft te weten hoe u uw VPN-apparaat handmatig moet configureren.

Gatewayinstellingen weergeven of bewerken

U kunt de instellingen van uw VPN-gateway op elk gewenst moment bekijken en bewerken. Ga naar uw virtuele HUB ->VPN (site-naar-site) en selecteer Weergeven/configureren.

Schermopname van het weergeven en bewerken van de gateway-instellingen van uw virtuele privénetwerk op de configuratiepagina van de virtuele hub.

Op de pagina VPN Gateway bewerken ziet u de volgende instellingen:

Schermopname die laat zien hoe u gateway-instellingen voor een virtueel particulier netwerk bewerkt.