Implementowanie szyfrowania za pośrednictwem usługi ExpressRoute

  • {liczbaMinut} minut

Wdróż usługę Azure Virtual WAN, aby ustanowić połączenie sieci VPN IPsec/IKE w celu połączenia sieci lokalnej z platformą Azure za pośrednictwem prywatnego peeringu łącza Azure ExpressRoute. Ta technika może zapewnić zaszyfrowany tranzyt między sieciami lokalnymi i sieciami wirtualnymi platformy Azure za pośrednictwem usługi ExpressRoute, bez przechodzenia przez publiczny Internet lub korzystania z publicznych adresów IP.

Topologia i trasowanie

Diagram przedstawiający przykład topologii i routingu usługi Azure Express Route.

Na diagramie przedstawiono sieć lokalną połączoną z bramą VPN centrum Azure za pośrednictwem prywatnego połączenia równorzędnego usługi ExpressRoute. Ustanowienie łączności jest proste:

  1. Ustanów połączenie ExpressRoute z obwodem ExpressRoute i prywatnym peeringiem.
  2. Ustanów łączność sieci VPN zgodnie z opisem w przykładzie.

Ważnym aspektem tej konfiguracji jest routing między sieciami lokalnymi a platformą Azure zarówno przez ścieżki usługi ExpressRoute, jak i sieci VPN.

Ruch z sieci lokalnych do platformy Azure

W przypadku ruchu z sieci lokalnych do platformy Azure prefiksy platformy Azure (w tym koncentrator wirtualny i wszystkie sieci wirtualne, które są rozgałęźnikami połączonymi z koncentratorem) są ogłaszane zarówno za pośrednictwem prywatnej komunikacji równorzędnej ExpressRoute BGP, jak i protokołu BGP sieci VPN. Skutkuje to dwoma trasami sieciowymi (ścieżkami) w kierunku platformy Azure z sieci lokalnych:

  • Jeden na ścieżce chronionej przez protokół IPsec
  • Jeden bezpośrednio za pośrednictwem usługi ExpressRoute bez ochrony protokołu IPsec

Aby zastosować szyfrowanie do komunikacji, upewnij się, że w przypadku sieci połączonej z siecią VPN na diagramie preferowane są trasy platformy Azure za pośrednictwem lokalnej bramy sieci VPN w ramach bezpośredniej ścieżki usługi ExpressRoute.

Ruch z platformy Azure do sieci lokalnych

To samo wymaganie dotyczy ruchu z platformy Azure do sieci lokalnych. Aby upewnić się, że ścieżka protokołu IPsec jest preferowana od bezpośredniej ścieżki ExpressRoute (bez IPsec), dostępne są dwie opcje:

Anonsuj bardziej szczegółowe prefiksy w sesji protokołu BGP sieci VPN dla sieci VPN połączonej. Można anonsować większy zakres obejmujący sieć połączoną z siecią VPN za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute, a następnie bardziej szczegółowe zakresy w sesji protokołu BGP sieci VPN. Na przykład anonsuj 10.0.0.0/16 za pośrednictwem usługi ExpressRoute i 10.0.1.0/24 za pośrednictwem sieci VPN.

Anonsuj rozłączne prefiksy dla sieci VPN i usługi ExpressRoute. Jeśli zakresy sieci połączone z siecią VPN są niepokrywające się z innymi sieciami połączonymi za pomocą ExpressRoute, możesz anonsować prefiksy w odpowiednich sesjach BGP sieci VPN i ExpressRoute. Na przykład anonsuj 10.0.0.0/24 za pośrednictwem usługi ExpressRoute i 10.0.1.0/24 za pośrednictwem sieci VPN.

W obu tych przykładach platforma Azure wyśle ruch do wersji 10.0.1.0/24 za pośrednictwem połączenia sieci VPN, a nie bezpośrednio za pośrednictwem usługi ExpressRoute bez ochrony sieci VPN.

Zanim rozpoczniesz

Przed rozpoczęciem konfiguracji sprawdź, czy spełnione są następujące kryteria:

  • Jeśli masz już sieć wirtualną, z którą chcesz nawiązać połączenie, sprawdź, czy żadna z podsieci sieci lokalnej nie nakłada się na nią. Twoja sieć wirtualna nie wymaga podsieci bramowej i nie może mieć żadnych bram sieci wirtualnych. Jeśli nie masz sieci wirtualnej, możesz go utworzyć, wykonując kroki opisane w tym artykule.
  • Uzyskaj zakres adresów IP dla regionu centrum. Centrum jest siecią wirtualną, a zakres adresów określony dla regionu centrum nie może pokrywać się z istniejącą siecią wirtualną, do której jesteś połączony. Nie może również nakładać się na zakresy adresów, z którymi łączysz się lokalnie. Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, koordynuj się z osobą, która może podać te szczegóły.
  • Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

1. Tworzenie wirtualnej sieci WAN i koncentratora z bramami

Przed kontynuowaniem muszą być przygotowane następujące zasoby Azure i odpowiednie konfiguracje lokalne:

  • Wirtualna sieć WAN platformy Azure.
  • Węzeł wirtualnej sieci WAN z usługą ExpressRoute i bramą VPN.

2. Tworzenie lokacji dla sieci lokalnej

Zasób witryny jest taki sam jak zasoby witryn VPN spoza ExpressRoute dla wirtualnej sieci WAN. Adres IP lokalnego urządzenia VPN może teraz być albo prywatnym adresem IP, albo publicznym adresem IP w sieci lokalnej, do którego można się dostać za pomocą wcześniej utworzonej konfiguracji prywatnego peeringu ExpressRoute.

  1. Przejdź do Twojej usługi Virtual WAN, lokacji sieci VPN i utwórz lokację dla swojej sieci lokalnej. Pamiętaj o następujących wartościach ustawień:

    • Border Gateway Protocol: wybierz pozycję "Włącz", jeśli sieć lokalna używa protokołu BGP.
    • Prywatna przestrzeń adresowa: wprowadź przestrzeń adresową IP znajdującą się w lokacji lokalnej. Ruch przeznaczony dla tej przestrzeni adresowej jest kierowany do sieci lokalnej za pośrednictwem bramy sieci VPN.

  2. Wybierz "Łącza", aby dodać informacje o linkach fizycznych. Pamiętaj o następujących ustawieniach:

    • Nazwa dostawcy: nazwa dostawcy usług internetowych dla tej witryny. W przypadku sieci lokalnej usługi ExpressRoute jest to nazwa dostawcy usług ExpressRoute.
    • Szybkość: szybkość połączenia usługi internetowej lub obwodu usługi ExpressRoute.
    • Adres IP: publiczny adres IP urządzenia sieci VPN, który znajduje się w lokacji lokalnej. W przypadku lokalnej usługi ExpressRoute jest to prywatny adres IP urządzenia sieci VPN za pośrednictwem usługi ExpressRoute.
    • Jeśli protokół BGP jest włączony, dotyczy wszystkich połączeń utworzonych dla tej witryny na platformie Azure. Konfigurowanie protokołu BGP w wirtualnej sieci WAN jest równoważne skonfigurowaniu protokołu BGP w bramie sieci VPN platformy Azure.
    • Lokalny adres równorzędny protokołu BGP nie może być taki sam jak adres IP sieci VPN do urządzenia lub przestrzeni adresowej sieci wirtualnej lokacji sieci VPN. Na urządzeniu VPN użyj innego adresu IP dla BGP peer IP. Może to być adres przypisany do interfejsu loopback na urządzeniu. Jednak nie może być adresem APIPA (169.254.x.x). Określ ten adres w odpowiedniej witrynie VPN, która reprezentuje lokalizację.

  3. Wybierz pozycję Dalej: Przejrzyj + utwórz, aby sprawdzić wartości ustawień i utworzyć lokację sieci VPN, a następnie Utwórz lokację.

  4. Następnie połącz witrynę z hubem. Zaktualizowanie bramy może potrwać do 30 minut.

3. Zaktualizuj ustawienie połączenia sieci VPN, aby używać usługi ExpressRoute

Po utworzeniu lokalizacji sieci VPN i nawiązaniu połączenia z koncentratorem wykonaj następujące kroki, aby skonfigurować połączenie do korzystania z prywatnego peeringu usługi ExpressRoute:

  1. Przejdź do centrum wirtualnego. Możesz to zrobić, przechodząc do wirtualnej sieci WAN i wybierając koncentrator, aby otworzyć jego stronę, lub przejść do połączonego koncentratora wirtualnego z witryny sieci VPN.

  2. W obszarze Connectivitywybierz pozycję VPN (Site-to-Site).

  3. Wybierz wielokropek (...) lub kliknij prawym przyciskiem myszy witrynę sieci VPN za pośrednictwem usługi ExpressRoute, a następnie wybierz Edytuj połączenie sieci VPN z tym hubem.

  4. Na stronie Podstawowe pozostaw wartości domyślne.

  5. Na stronie połączenia Link 1 skonfiguruj następujące ustawienia:

    • W przypadku Użyj prywatnego adresu IP platformy Azurewybierz pozycję Tak. Ustawienie konfiguruje bramę VPN koncentratora, aby dla tego połączenia używać prywatnych adresów IP w zakresie adresów koncentratora, zamiast publicznych adresów IP. Gwarantuje to, że ruch z sieci lokalnej przechodzi przez ścieżki prywatnego peeringu ExpressRoute, zamiast korzystać z publicznego Internetu przy tym połączeniu VPN.

  6. Kliknij Utwórz, aby zaktualizować ustawienia. Po utworzeniu ustawień brama sieci VPN koncentratora będzie używać prywatnych adresów IP w bramie sieci VPN do ustanawiania połączeń protokołu IPsec/IKE z lokalnym urządzeniem sieci VPN za pośrednictwem usługi ExpressRoute.

4. Uzyskaj prywatne adresy IP dla bramy VPN koncentratora

Pobierz konfigurację urządzenia VPN, aby uzyskać prywatne adresy IP bramy VPN koncentratora. Te adresy są potrzebne do skonfigurowania lokalnego urządzenia sieci VPN.

  1. Na stronie centrum sieci wybierz pozycję VPN (między lokalizacjami) w obszarze Łączność.
  2. Na górze strony Przegląd wybierz pozycję Pobierz konfigurację sieci VPN. Platforma Azure tworzy konto magazynu w grupie zasobów "microsoft-network-[location]", gdzie lokalizacja jest lokalizacją sieci WAN. Po zastosowaniu konfiguracji do urządzeń sieci VPN możesz usunąć to konto magazynu.
  3. Po utworzeniu pliku wybierz link, aby go pobrać.
  4. Zastosuj konfigurację do urządzenia sieci VPN.

Plik konfiguracji urządzenia sieci VPN

Plik konfiguracji urządzenia zawiera ustawienia, które mają być używane podczas konfigurowania lokalnego urządzenia sieci VPN. Podczas wyświetlania tego pliku zwróć uwagę na następujące informacje:

  • vpnSiteConfiguration: ta sekcja określa szczegóły konfiguracji urządzenia jako stronę łączącą się z wirtualną siecią WAN. Zawiera ona nazwę i publiczny adres IP urządzenia gałęzi.

  • vpnSiteConnections: Ta sekcja zawiera informacje o następujących ustawieniach:

    • Przestrzeń adresowa wirtualnej sieci koncentratora wirtualnego.
      Przykład: "AddressSpace":"10.51.230.0/24"
    • Przestrzeń adresowa sieci wirtualnych połączonych z koncentratorem.
      Przykład: "ConnectedSubnets":["10.51.231.0/24"]
    • Adresy IP bramy sieci VPN koncentratora wirtualnego. Ponieważ każde połączenie bramy sieci VPN składa się z dwóch tuneli w konfiguracji aktywne-aktywne, zobaczysz oba adresy IP wymienione w tym pliku. W tym przykładzie widzisz Instancja0 i Instancja1 dla każdej strony i są to prywatne adresy IP zamiast publicznych adresów IP.
      Przykład: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Szczegóły konfiguracji połączenia bramy sieci VPN, takie jak BGP i współdzielony klucz. Klucz współdzielony jest generowany automatycznie. Zawsze możesz edytować połączenie na stronie Przegląd, jeśli chcesz użyć niestandardowego klucza wspólnego.

Konfigurowanie urządzenia sieci VPN

Jeśli potrzebujesz instrukcji dotyczących konfigurowania urządzenia, możesz użyć instrukcji na stronie skryptów konfiguracji urządzenia sieci VPN z następującymi zastrzeżeniami:

  • Instrukcje na stronie urządzenia sieci VPN nie są napisane dla wirtualnej sieci WAN. Można jednak użyć wartości wirtualnej sieci WAN z pliku konfiguracji, aby ręcznie skonfigurować urządzenie sieci VPN.
  • Skrypty konfiguracji urządzenia do pobrania, które są przeznaczone dla bramy sieci VPN, nie działają dla wirtualnej sieci WAN, ponieważ konfiguracja jest inna.
  • Nowa wirtualna sieć WAN może obsługiwać protokoły IKEv1 i IKEv2.
  • Wirtualna sieć WAN może używać tylko urządzeń sieci VPN opartych na trasach i instrukcji dotyczących urządzeń.

5. Wyświetlanie wirtualnej sieci WAN

  1. Przejdź do wirtualnej sieci WAN.
  2. Na stronie Przegląd każdy punkt na mapie reprezentuje węzeł.
  3. W sekcji Hubs i połączenia można wyświetlić statusy hubów, lokacji, regionów i połączeń VPN. Możesz również wyświetlać bajty wejściowe i wyjściowe.

6. Monitorowanie połączenia

Utwórz połączenie do monitorowania komunikacji między maszyną wirtualną platformy Azure a lokacją zdalną.