VPN - Конфигуриране на базиран на маршрути IPsec VPN към Azure (BGP върху IKEv2/IPSec)

Имате още въпроси? Подаване на заявка

Тази статия показва как да конфигурирате Azure мулти-сайт връзка (VNet/Virtual Network gateways) чрез site-to-site IPsec VPN, използвайки базиран на маршрути VPN и BGP върху IKEv2 (USG FLEX / ATP / VPN серия). 

Увод

Този тип връзка е вариант на Site-to-Site връзката. Създавате повече от една VPN връзка от вашия виртуален мрежов шлюз, обикновено свързвайки се с няколко локални обекта.
Когато работите с множество връзки, трябва да използвате тип Route-based VPN (известен като динамичен шлюз при работа с класически VNets). Тъй като всяка виртуална мрежа може да има само един VPN шлюз, всички връзки през шлюза споделят наличната честотна лента. Това често се нарича "мулти-сайт" връзка.

Преди да започнете

Преди да започнете конфигурацията, уверете се, че разполагате със следното:

  1. -Имате Azure виртуална мрежа, създадена с използване на Resource Manager модела за разгръщане
  2. -Виртуалният мрежов шлюз за вашия VNet е RouteBased. Ако имате policy-based VPN шлюз, трябва да изтриете виртуалния мрежов шлюз и да създадете нов VPN шлюз като RouteBased.
  3. -Нито един от адресните диапазони на всяка локална мрежа не се припокрива с някой от VNet-овете, към които този VNet се свързва.
  4. -Външен публичен IPv4 адрес за всеки ZyWALL устройство. IP адресът не може да се намира зад NAT. Това е изискване.

4xfl3chatw7o.png

 

1. Създайте виртуална мрежа (VNet)

1.       От браузър, отидете на Azure портала и влезте с вашия Azure акаунт.

2.       Кликнете Create a resource. В полето Search the marketplace напишете 'virtual network'. Намерете Virtual network от върнатия списък и кликнете, за да отворите страницата Virtual Network .

3.       Близо до дъното на страницата Virtual Network, от списъка Select a deployment model изберете Resource Manager и след това кликнете Create. Това отваря страницата 'Create virtual network'.

ekpusf18udsr.png

2. Създайте gateway subnet

Виртуалният мрежов шлюз използва специфичен подмрежов сегмент, наречен gateway subnet. Той е част от IP адресното пространство на виртуалната мрежа, което посочвате при създаването на виртуалната мрежа. Съдържа IP адреси, които използват ресурсите и услугите на виртуалния мрежов шлюз.

1.       В портала отидете до виртуалната мрежа, за която искате да създадете виртуален мрежов шлюз.

2.       В секцията Settings на вашата VNet страница, кликнете Subnets за да разширите страницата Subnets.

3.       На страницата Subnets кликнете +Gateway subnet в горната част, за да отворите страницата Add subnet .

v7xc8ijlgk3w.png

 

4. Името на вашия подмрежов сегмент се попълва автоматично със стойността 'GatewaySubnet'. Стойността GatewaySubnet е необходима, за да разпознае Azure подмрежата като gateway subnet. Настройте автоматично попълнените стойности за Address range според изискванията на вашата конфигурация.

18ykjeocboi9.png

5. За да създадете подмрежата, кликнете OK в долната част на страницата.

3. Създайте VPN шлюз

1. В лявата част на страницата на портала кликнете и напишете 'Virtual Network Gateway' в търсенето. В Results намерете и кликнете върху Virtual network gateway.

2. В долната част на страницата 'Virtual network gateway' кликнете Create. Това отваря страницата Create virtual network gateway.

3. На страницата Create virtual network gateway посочете стойностите за вашия виртуален мрежов шлюз.

w4ucdcjggbmx.png

· Име: Vnet1GW

· Тип шлюз: VPN

· Тип VPN: изберете Route-based VPN тип

· SKU: VpnGw1

BGP се поддържа на Azure VpnGw1, VpnGw2, VpnGw3Standard и HighPerformance SKU.
Basic SKU НЕ се поддържа. Тук трябва да изберете поне VpnGw1.

· Виртуална мрежа: Кликнете Virtual network/Choose a virtual network, за да отворите страницата Choose a virtual network. Изберете VNet1.

· Публичен IP адрес: Тази настройка посочва публичния IP адрес, който ще бъде асоцииран с VPN шлюза.

-Оставете избрано Create new.

-В текстовото поле въведете Име за вашия публичен IP адрес. За това упражнение използвайте VNet1GWIP.

· Отметнете опцията Configure BGP ASN и въведете ASN номер. Azure запазва следните ASN за вътрешни и външни peer-и:

         · Публични ASN: 8074, 8075, 12076

         · Частни ASN: 65515, 65517, 65518, 65519, 65520

· Локация: изберете същата локация като вашия VNet

4. Кликнете Create, за да започнете създаването на VPN шлюза.

След като шлюзът бъде създаден, в лявата част на страницата на портала кликнете All resources и влезте в виртуалния мрежов шлюз, за да видите повече информация. Публичният IP адрес ще се покаже вдясно.

4. Вземете Azure BGP Peer IP адреса

Трябва да получите BGP Peer IP адреса на този VPN шлюз. Този адрес е необходим, за да го конфигурирате на вашия ZyWALL като BGP съсед.

Отворете страницата за конфигурация на вашия Azure VPN шлюз, за да го получите.

34atj65u3n5c.png

5. Създайте локален мрежов шлюз

Локалният мрежов шлюз обикновено се отнася до вашето локално място. Давате име на сайта, с което Azure може да го познава, след което посочвате IP адреса на локалното ZyWALL устройство, към което ще създадете връзка.

1.       В портала кликнете +Create a resource.

2.       В полето за търсене напишете Local network gateway и натиснете Enter, за да търсите. Ще се върне списък с резултати. Кликнете Local network gateway и след това кликнете бутона Create, за да отворите страницата Create local network gateway.

3.       На страницата Create local network gateway посочете стойностите за вашия локален мрежов шлюз.

Най-важната част е списъкът с адресни пространства. Тук е BGP peer IP адресът на вашия ZyWALL, обикновено IP адресът на VTI тунелния интерфейс. В този пример е 10.1.254.1/32

Отметнете Configure BGP settings и въведете BGP ASN на вашия ZyWALL.

BGP peer IP адрес: Въведете IP адреса на вашия VTI интерфейс на ZyWALL. В този пример е 10.1.254.1

9rrd3x2slk8z.png

6. Създайте VPN връзка

1.       Отидете и отворете страницата за вашия виртуален мрежов шлюз.

2.       На страницата за VNet1GW кликнете Connections. В горната част на страницата Connections кликнете +Add, за да отворите страницата Add connection.

7uahk0fe9ssw.png

3.      На страницата Add connection конфигурирайте стойностите за вашата връзка. Изберете Site-to-site (IPSec) като тип връзка.

Въведете Shared key(PSK), която трябва да съвпада със стойността на Pre-Shared Key в страницата за настройки на VPN шлюза на вашия ZyWALL.

Забележка: Предварително споделената ключова дума трябва да бъде между 8 и 32 знака.

wcbrlvft8sb6.png

7. Активирайте BGP на Azure VPN връзката

1.       Отидете и отворете страницата за създадената Azure VPN връзка.

2.       Кликнете Configuration, за да отворите страницата за конфигурация.

3.       Активирайте BGP и след това кликнете Save

dkuhb32e00dr.png

След като завършите конфигурацията на VPN в Azure портала, можете да конфигурирате свързаните VPN настройки на вашия ZyWALL.

8. Създайте VPN Gateway Правило (Фаза 1)

В ZyWALL Web GUI отидете на CONFIGURATION > VPN > IPSec VPN > VPN Gateway, кликнете Add, за да създадете правило за VPN Gateway.

На страницата Add VPN Gateway посочете стойностите за вашия виртуален мрежов шлюз.

meodw6099556.png

·         Enable: отметнете Enable, за да активирате това правило

·         Име: „Azure“ като име на правилото в този пример

·         IKE версия: IKEv2

·         Адрес на съседния шлюз: изберете static address и въведете публичния IP адрес на Azure виртуалния мрежов шлюз в полето Primary

·         Предварително споделен ключ: въведете Shared Key(PSK) на Azure VPN връзката

·         SA Life Time: 28800 секунди

·         Криптиращ алгоритъм: оставете по подразбиране, AES128

·         Алгоритъм за автентикация: оставете по подразбиране, SHA1

·         Key Group: оставете по подразбиране, DH2

9. Създайте VPN Connection Правило (Фаза 2)

В ZyWALL Web GUI отидете на CONFIGURATION > VPN > IPSec VPN > VPN Connection, кликнете Add, за да създадете правило за VPN Connection.

На страницата Add VPN Connection посочете стойностите за вашия виртуален мрежов шлюз.

na4xvbix64cn.png

·         Enable: отметнете Enable, за да активирате това правило

·         Име: „Azure“ като име на правилото в този пример

·         TCP MSS: 1379 байта

·         Сценарий на приложение: изберете VPN Tunnel Interface за route-based VPN

·         VPN Gateway: изберете „Azure“.

·         SA Life Time: 3600 секунди

·         Криптиращ алгоритъм: изберете AES256

·         Алгоритъм за автентикация: оставете по подразбиране, SHA1

·         PFS: изберете none

Забележка: Криптиращият алгоритъм за Фаза 2 трябва да бъде избран като AES256, за да е напълно съвместим с Azure VPN шлюза.

10. Създайте VTI интерфейс

В ZyWALL Web GUI отидете на CONFIGURATION > Network > Interface > VTI, кликнете Add, за да създадете VTI интерфейс

d68jwzldb683.png

·         Име на интерфейс: vti0

·         Зона: IPSec_VPN

·         vpn-rule: Azure

·         IP адрес: 10.1.245.1

·         Маска на подмрежа: 255.255.255.252

11. Създайте статични маршрути за BGP peer

В ZyWALL Web GUI отидете на CONFIGURATION > Network > Routing > Static Route.

Добавете маршрут към Gateway Subnet на Azure, в този пример е 10.0.0.0/29

Това е маршрутът за TCP връзката на BGP към Azure BGP peer IP адреса.

pr2fdpor8vdo.png

12. Конфигурирайте BGP

В ZyWALL Web GUI отидете на CONFIGURATION > Network > Routing > BGP

1. Въведете BGP ASN на този сайт

2. Въведете Router ID на този ZyWALL. Обикновено това е IP адресът на LAN интерфейса на вашия ZyWALL.

fj8ablursxea.png

3. Добавете Azure BGP peer като съсед. Въведете Azure BGP peer IP адреса. Въведете BGP ASN на Azure VNet. Активирайте eBGP Multihop.

Изберете VTI интерфейса като източник на BGP пакетите, изпращани между peer-овете.

hdqb7kd1ioi9.png

4. Добавете маршрути, които искате да рекламирате към Azure BGP peer.

2e5a5iv1vcs0.png

Статии в този раздел

Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.