ExpressRoute-versleuteling configureren: IPsec via ExpressRoute voor Azure Virtual WAN (2023)

Table of Contents
In dit artikel Topologie en routering Verkeer van on-premises netwerken naar Azure Verkeer van Azure naar on-premises netwerken Voordat je begint 1. Creëer een virtuele WAN en hub met gateways 2. Maak een site voor het on-premises netwerk 3. Werk de VPN-verbindingsinstelling bij om ExpressRoute te gebruiken 4. Haal de privé-IP-adressen op voor de hub-VPN-gateway Configuratiebestand voor VPN-apparaat Voorbeeld apparaatconfiguratiebestand Uw VPN-apparaat configureren 5. Bekijk uw virtuele WAN 6. Bewaak een verbinding 7. Ruim bronnen op Volgende stappen
  • Artikel

In dit artikel leest u hoe u Azure Virtual WAN gebruikt om een ​​IPsec/IKE VPN-verbinding tot stand te brengen van uw on-premises netwerk naar Azure via de privépeering van een Azure ExpressRoute-circuit. Deze techniek kan een versleutelde doorvoer bieden tussen de on-premises netwerken en virtuele Azure-netwerken via ExpressRoute, zonder via het openbare internet te gaan of openbare IP-adressen te gebruiken.

Topologie en routering

Het volgende diagram toont een voorbeeld van VPN-connectiviteit via ExpressRoute-privé-peering:

ExpressRoute-versleuteling configureren: IPsec via ExpressRoute voor Azure Virtual WAN (1)

Het diagram toont een netwerk binnen het on-premises netwerk dat is verbonden met de Azure hub VPN-gateway via ExpressRoute-privé-peering. Het tot stand brengen van connectiviteit is eenvoudig:

  1. Breng ExpressRoute-connectiviteit tot stand met een ExpressRoute-circuit en privépeering.
  2. Breng de VPN-verbinding tot stand zoals beschreven in dit artikel.

Een belangrijk aspect van deze configuratie is routering tussen de on-premises netwerken en Azure via zowel de ExpressRoute- als de VPN-paden.

Verkeer van on-premises netwerken naar Azure

Voor verkeer van on-premises netwerken naar Azure worden de Azure-voorvoegsels (inclusief de virtuele hub en alle virtuele spaaknetwerken die met de hub zijn verbonden) geadverteerd via zowel de ExpressRoute private peering BGP als de VPN BGP. Dit resulteert in twee netwerkroutes (paden) naar Azure vanaf de on-premises netwerken:

  • Eén via het IPsec-beveiligde pad
  • Eén direct via ExpressRoutezonderIPsec-beveiliging

Als u versleuteling wilt toepassen op de communicatie, moet u ervoor zorgen dat voor het met VPN verbonden netwerk in het diagram de Azure-routes via een on-premises VPN-gateway de voorkeur hebben boven het directe ExpressRoute-pad.

Verkeer van Azure naar on-premises netwerken

Dezelfde vereiste is van toepassing op het verkeer van Azure naar on-premises netwerken. Om ervoor te zorgen dat het IPsec-pad de voorkeur heeft boven het directe ExpressRoute-pad (zonder IPsec), hebt u twee opties:

  • Adverteer meer specifieke voorvoegsels op de VPN BGP-sessie voor het VPN-verbonden netwerk. U kunt een groter bereik adverteren dat het met VPN verbonden netwerk omvat via ExpressRoute-privé-peering, en vervolgens specifiekere bereiken in de VPN BGP-sessie. Adverteer bijvoorbeeld 10.0.0.0/16 via ExpressRoute en 10.0.1.0/24 via VPN.

  • Adverteer onsamenhangende voorvoegsels voor VPN en ExpressRoute. Als de met VPN verbonden netwerkbereiken niet zijn verbonden met andere met ExpressRoute verbonden netwerken, kunt u de voorvoegsels adverteren in respectievelijk de VPN- en ExpressRoute BGP-sessies. Adverteer bijvoorbeeld 10.0.0.0/24 via ExpressRoute en 10.0.1.0/24 via VPN.

In beide voorbeelden stuurt Azure verkeer naar 10.0.1.0/24 via de VPN-verbinding in plaats van rechtstreeks via ExpressRoute zonder VPN-bescherming.

Waarschuwing

Als u reclame maakt voor dedezelfdeprefixen over zowel ExpressRoute- als VPN-verbindingen, gebruikt Azure het ExpressRoute-pad rechtstreeks zonder VPN-beveiliging.

See Also
Microsoft Cost Management-updates – mei 2022 | Azure-blog | Microsoft AzureGroottegids voor Azure Virtual Desktop voor IT | TechTargetAWS Direct Connect: gateway, locaties, partners, prijzen

Voordat je begint

Controleer voordat u met uw configuratie begint of u aan de volgende criteria voldoet:

  • Als u al een virtueel netwerk hebt waarmee u verbinding wilt maken, controleert u of geen van de subnetten van uw on-premises netwerk hiermee overlapt. Uw virtuele netwerk vereist geen gateway-subnet en kan geen virtuele netwerkgateways hebben. Als u geen virtueel netwerk hebt, kunt u er een maken door de stappen in dit artikel te volgen.
  • Verkrijg een IP-adresbereik voor uw hubregio. De hub is een virtueel netwerk en het adresbereik dat u opgeeft voor de hubregio mag niet overlappen met een bestaand virtueel netwerk waarmee u verbinding maakt. Het mag ook niet overlappen met de adresbereiken waarmee u on-premises verbinding maakt. Als u niet bekend bent met de IP-adresbereiken in uw on-premises netwerkconfiguratie, overleg dan met iemand die u deze details kan verstrekken.
  • Als u geen Azure-abonnement hebt, maakt u eengratis accountvoordat je begint.

1. Creëer een virtuele WAN en hub met gateways

De volgende Azure-resources en de bijbehorende on-premises configuraties moeten aanwezig zijn voordat u doorgaat:

  • Een virtueel WAN van Azure
  • Een virtuele WAN-hub met eenExpressRoute-gatewayen eenVPN-gateway

Zie voor de stappen voor het maken van een virtuele Azure-WAN en een hub met een ExpressRoute-koppelingMaak een ExpressRoute-koppeling met behulp van Azure Virtual WAN. Zie voor de stappen voor het maken van een VPN-gateway in het virtuele WANMaak een site-naar-site-verbinding met behulp van Azure Virtual WAN.

2. Maak een site voor het on-premises netwerk

De sitebron is hetzelfde als de niet-ExpressRoute VPN-sites voor een virtueel WAN. Het IP-adres van het on-premises VPN-apparaat kan nu een privé-IP-adres zijn of een openbaar IP-adres in het on-premises netwerk dat bereikbaar is via ExpressRoute-privé-peering die in stap 1 is gemaakt.

Opmerking

Het IP-adres voor het on-premises VPN-apparaatmoetendeel uitmaken van de adresvoorvoegsels die via Azure ExpressRoute privépeering aan de virtuele WAN-hub worden geadverteerd.

  1. Ga naar de Azure-portal in uw browser.

  2. Selecteer de hub die u hebt gemaakt. Op de virtuele WAN-hubpagina, onderConnectiviteit, selecteerVPN-sites.

  3. Op deVPN-sitespagina, selecteer+Site maken.

  4. Op deWebsite makenpagina vult u de volgende velden in:

    • Abonnement: Controleer het abonnement.
    • Hulpbronnengroep: Selecteer of maak de resourcegroep die u wilt gebruiken.
    • Regio: Voer de Azure-regio in voor de VPN-siteresource.
    • Naam: voer de naam in waarmee u naar uw on-premises site wilt verwijzen.
    • Toestel leverancier: Voer de leverancier van het on-premises VPN-apparaat in.
    • Border Gateway-protocol: Selecteer "Inschakelen" als uw lokale netwerk BGP gebruikt.
    • Privé adresruimte: Voer de IP-adresruimte in die zich op uw on-premises site bevindt. Verkeer bestemd voor deze adresruimte wordt via de VPN-gateway naar het on-premises netwerk geleid.
    • Naven: Selecteer een of meer hubs om verbinding te maken met deze VPN-site. De geselecteerde hubs moeten al VPN-gateways hebben gemaakt.

  5. SelecteerVolgende: Koppelingen >voor de VPN-linkinstellingen:

    • Koppelingsnaam: De naam waarmee u naar deze verbinding wilt verwijzen.
    • Provider naam: De naam van de internetprovider voor deze site. Voor een ExpressRoute on-premises netwerk is dit de naam van de ExpressRoute-serviceprovider.
    • Snelheid: de snelheid van de internetservicelink of het ExpressRoute-circuit.
    • IP adres: het openbare IP-adres van het VPN-apparaat dat zich op uw on-premises site bevindt. Of, voor ExpressRoute on-premises, is dit het privé-IP-adres van het VPN-apparaat via ExpressRoute.

    Als BGP is ingeschakeld, is dit van toepassing op alle verbindingen die voor deze site in Azure zijn gemaakt. Het configureren van BGP op een virtueel WAN is gelijk aan het configureren van BGP op een Azure VPN-gateway.

    Uw on-premises BGP-peer-adresmoet niethetzelfde zijn als het IP-adres van uw VPN naar het apparaat of de adresruimte van het virtuele netwerk van de VPN-site. Gebruik een ander IP-adres op het VPN-apparaat voor uw BGP-peer-IP. Het kan een adres zijn dat is toegewezen aan de loopback-interface op het apparaat. Echter, hetkan nieteen APIPA zijn (169.254).X.X) adres. Geef dit adres op in de overeenkomstige VPN-site die de locatie vertegenwoordigt. Zie voor BGP-vereistenOver BGP met Azure VPN Gateway.

  6. SelecteerVolgende: Review + create >om de instellingswaarden te controleren en de VPN-site te maken. Als je hebt geselecteerdNavenom verbinding te maken, wordt de verbinding tot stand gebracht tussen het on-premises netwerk en de hub-VPN-gateway.

3. Werk de VPN-verbindingsinstelling bij om ExpressRoute te gebruiken

Nadat u de VPN-site hebt gemaakt en verbinding hebt gemaakt met de hub, voert u de volgende stappen uit om de verbinding te configureren voor het gebruik van ExpressRoute-privé-peering:

  1. Ga terug naar de virtuele WAN-resourcepagina en selecteer de hubresource. Of navigeer vanaf de VPN-site naar de connected hub.

    ExpressRoute-versleuteling configureren: IPsec via ExpressRoute voor Azure Virtual WAN (2)

  2. OnderConnectiviteit, selecteerVPN (site-naar-site).

    ExpressRoute-versleuteling configureren: IPsec via ExpressRoute voor Azure Virtual WAN (3)

  3. Selecteer de weglatingstekens (...) op de VPN-site via ExpressRoute en selecteerBewerk de VPN-verbinding met deze hub.

    ExpressRoute-versleuteling configureren: IPsec via ExpressRoute voor Azure Virtual WAN (4)

  4. VoorGebruik het privé-IP-adres van Azure, selecteerJa. De instelling configureert de hub-VPN-gateway voor het gebruik van privé-IP-adressen binnen het hub-adresbereik op de gateway voor deze verbinding, in plaats van de openbare IP-adressen. Dit zorgt ervoor dat het verkeer van het on-premises netwerk de ExpressRoute privé-peering-paden doorloopt in plaats van het openbare internet te gebruiken voor deze VPN-verbinding. De volgende schermafbeelding toont de instelling:

    ExpressRoute-versleuteling configureren: IPsec via ExpressRoute voor Azure Virtual WAN (5)

  5. SelecteerRedden.

Nadat u uw wijzigingen hebt opgeslagen, gebruikt de VPN-gateway van de hub de privé-IP-adressen op de VPN-gateway om de IPsec/IKE-verbindingen tot stand te brengen met het on-premises VPN-apparaat via ExpressRoute.

4. Haal de privé-IP-adressen op voor de hub-VPN-gateway

Download de configuratie van het VPN-apparaat om de privé-IP-adressen van de hub-VPN-gateway op te halen. U hebt deze adressen nodig om het on-premises VPN-apparaat te configureren.

  1. Selecteer op de pagina voor uw hubVPN (site-naar-site)onderConnectiviteit.

  2. Aan de bovenkant van deOverzichtpagina, selecteerVPN-configuratie downloaden.

    Azure maakt een opslagaccount in de resourcegroep "microsoft-network-[location]", waarplaatsis de locatie van het WAN. Nadat u de configuratie op uw VPN-apparaten hebt toegepast, kunt u dit opslagaccount verwijderen.

  3. Nadat het bestand is gemaakt, selecteert u de koppeling om het te downloaden.

  4. Pas de configuratie toe op uw VPN-apparaat.

Configuratiebestand voor VPN-apparaat

Het apparaatconfiguratiebestand bevat de instellingen die u moet gebruiken wanneer u uw on-premises VPN-apparaat configureert. Let op de volgende informatie wanneer u dit bestand bekijkt:

  • vpnSiteConfiguratie: Deze sectie geeft de apparaatdetails aan die zijn ingesteld als een site die verbinding maakt met het virtuele WAN. Het bevat de naam en het openbare IP-adres van het filiaalapparaat.

  • vpnSiteConnections: In dit gedeelte vindt u informatie over de volgende instellingen:

    • Adresruimte van het virtuele netwerk van de virtuele hub.
      Voorbeeld:"AddressSpace":"10.51.230.0/24"
    • Adresruimte van de virtuele netwerken die zijn verbonden met de hub.
      Voorbeeld:"ConnectedSubnets":["10.51.231.0/24"]
    • IP-adressen van de VPN-gateway van de virtuele hub. Omdat elke verbinding van de VPN-gateway bestaat uit twee tunnels in actief-actief configuratie, zie je beide IP-adressen in dit bestand staan. In dit voorbeeld ziet uInstantie0EnInstantie1voor elke site, en het zijn privé-IP-adressen in plaats van openbare IP-adressen.
      Voorbeeld:"Exemplaar0":"10.51.230.4" "Exemplaar1":"10.51.230.5"
    • Configuratiedetails voor de VPN-gatewayverbinding, zoals BGP en pre-shared key. De vooraf gedeelde sleutel wordt automatisch voor u gegenereerd. U kunt de verbinding altijd bewerken op deOverzichtpagina voor een aangepaste vooraf gedeelde sleutel.

Voorbeeld apparaatconfiguratiebestand

[{ "configurationVersion":{ "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z", "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3" }, "vpnSiteConfiguration":{ "Name": "VPN-over-ER-site", "IPAddress":"172.24.127.211", "LinkName":"VPN-over-ER" }, "vpnSiteConnections":[{ "hubConfiguration":{ "AddressSpace":"10.51 .230.0/24", "Region":"West US 2", "ConnectedSubnets":["10.51.231.0/24"] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"10.51.230.4" , "Instance1":"10.51.230.5" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"abc123", "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600} } }] }, { "configurationVersion":{ "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z", "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0" }, "vpnSiteConfiguration":{ " Name":"VPN-over-INet-site", "IPAddress":"13.75.195.234", "LinkName":"VPN-over-INet" }, "vpnSiteConnections":[{ "hubConfiguration":{ "AddressSpace" :"10.51.230.0/24", "Region":"West US 2", "ConnectedSubnets":["10.51.231.0/24"] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"51.143 .63.104", "Instance1":"52.137.90.89" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"abc123", "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds": 3600} } }]}]

Uw VPN-apparaat configureren

Als je instructies nodig hebt om je apparaat te configureren, kun je de instructies op dePagina met configuratiescripts voor VPN-apparatenmet de volgende kanttekeningen:

  • De instructies op de VPN-apparaatpagina zijn niet geschreven voor een virtueel WAN. Maar u kunt de virtuele WAN-waarden uit het configuratiebestand gebruiken om uw VPN-apparaat handmatig te configureren.
  • De downloadbare apparaatconfiguratiescripts voor de VPN-gateway werken niet voor het virtuele WAN, omdat de configuratie anders is.
  • Een nieuw virtueel WAN kan zowel IKEv1 als IKEv2 ondersteunen.
  • Een virtueel WAN kan alleen gebruikmaken van op routes gebaseerde VPN-apparaten en apparaatinstructies.

5. Bekijk uw virtuele WAN

  1. Ga naar het virtuele WAN.
  2. Op deOverzichtpagina vertegenwoordigt elk punt op de kaart een hub.
  3. In deHubs en verbindingensectie kunt u de hub-, site-, regio- en VPN-verbindingsstatus bekijken. U kunt ook bytes in en uit bekijken.

6. Bewaak een verbinding

Maak een verbinding om de communicatie tussen een virtuele Azure-machine (VM) en een externe site te bewaken. Zie voor informatie over het instellen van een verbindingsmonitorNetwerkcommunicatie bewaken. Het bronveld is het IP-adres van de VM in Azure en het doel-IP-adres is het site-IP.

7. Ruim bronnen op

Wanneer u deze middelen niet meer nodig heeft, kunt u deze gebruikenVerwijder-AzResourceGroupom de resourcegroep en alle resources die deze bevat te verwijderen. Voer de volgende PowerShell-opdracht uit en vervangmijnResourceGroupmet de naam van uw resourcegroep:

Remove-AzResourceGroup -Name myResourceGroup -Force

Volgende stappen

Dit artikel helpt u bij het maken van een VPN-verbinding via ExpressRoute-privé-peering met behulp van Virtual WAN. Voor meer informatie over Virtual WAN en verwante functies, zie deVirtueel WAN-overzicht.

Top Articles
Latest Posts
Article information

Author: Prof. Nancy Dach

Last Updated: 04/27/2023

Views: 5259

Rating: 4.7 / 5 (57 voted)

Reviews: 80% of readers found this page helpful

Author information

Name: Prof. Nancy Dach

Birthday: 1993-08-23

Address: 569 Waelchi Ports, South Blainebury, LA 11589

Phone: +9958996486049

Job: Sales Manager

Hobby: Web surfing, Scuba diving, Mountaineering, Writing, Sailing, Dance, Blacksmithing

Introduction: My name is Prof. Nancy Dach, I am a lively, joyous, courageous, lovely, tender, charming, open person who loves writing and wants to share my knowledge and understanding with you.