VPN – Konfigurace směrování IPsec VPN založené na trasách do Azure (BGP přes IKEv2/IPSec)

Máte další otázky? Odeslat požadavek

Tento článek ukazuje, jak nakonfigurovat Azure multi-site připojení (brány VNet/virtuální sítě) přes site-to-site IPsec VPN pomocí směrování VPN a BGP přes IKEv2 (série USG FLEX / ATP / VPN).

Úvod

Tento typ připojení je variantou Site-to-Site připojení. Vytvoříte více než jedno VPN připojení z vaší brány virtuální sítě, typicky připojující se k více lokálním místům.
Při práci s více připojeními musíte použít typ VPN založený na trasách (Route-based VPN) (známý jako dynamická brána při práci s klasickými VNety). Protože každá virtuální síť může mít pouze jednu VPN bránu, všechna připojení přes tuto bránu sdílejí dostupnou šířku pásma. Toto se často nazývá „multi-site“ připojení.

Před zahájením

Než začnete s konfigurací, ověřte, že máte následující:

  1. - Máte Azure virtuální síť vytvořenou pomocí modelu nasazení Resource Manager
  2. - Brána virtuální sítě pro vaši VNet je typu RouteBased. Pokud máte VPN bránu založenou na politice (policy-based), musíte ji smazat a vytvořit novou VPN bránu jako RouteBased.
  3. - Žádné adresní rozsahy jednotlivých lokálních sítí se nepřekrývají s žádnou z VNetů, ke kterým se tato VNet připojuje.
  4. - Veřejná IPv4 adresa pro každý ZyWALL zařízení, která je přímo přístupná z internetu (nesmí být za NAT). Toto je požadavek.

4xfl3chatw7o.png

 

1. Vytvoření virtuální sítě (VNet)

1.       Otevřete v prohlížeči Azure portál a přihlaste se ke svému Azure účtu.

2.       Klikněte na Vytvořit zdroj. Do pole Vyhledat na trhu zadejte 'virtuální síť'. Najděte Virtuální síť v seznamu výsledků a klikněte pro otevření stránky Virtuální síť.

3.       V dolní části stránky Virtuální síť z rozbalovacího seznamu Vybrat model nasazení zvolte Resource Manager a klikněte na Vytvořit. Otevře se stránka „Vytvořit virtuální síť“.

ekpusf18udsr.png

2. Vytvoření podsítě brány (gateway subnet)

Brána virtuální sítě používá specifickou podsíť nazvanou podsíť brány (gateway subnet). Je součástí adresního prostoru virtuální sítě, který určíte při vytváření virtuální sítě. Obsahuje IP adresy, které používají zdroje a služby brány virtuální sítě.

1.       V portálu přejděte na virtuální síť, pro kterou chcete vytvořit bránu virtuální sítě.

2.       V sekci Nastavení na stránce vaší VNet klikněte na Podsítě pro rozbalení stránky podsítí.

3.       Na stránce Podsítě klikněte nahoře na +Podsíť brány pro otevření stránky Přidat podsíť.

v7xc8ijlgk3w.png

 

4. Název vaší podsítě je automaticky vyplněn hodnotou 'GatewaySubnet'. Tato hodnota je vyžadována, aby Azure rozpoznal podsíť jako podsíť brány. Upravte automaticky vyplněný Adresní rozsah tak, aby odpovídal vašim požadavkům na konfiguraci.

18ykjeocboi9.png

5. Pro vytvoření podsítě klikněte na OK ve spodní části stránky.

3. Vytvoření VPN brány

1. Na levé straně portálu klikněte na + a do vyhledávání napište 'Virtual Network Gateway'. Ve výsledcích vyhledejte a klikněte na Virtual network gateway.

2. Ve spodní části stránky 'Virtual network gateway' klikněte na Vytvořit. Otevře se stránka Vytvořit virtuální síťovou bránu.

3. Na stránce Vytvořit virtuální síťovou bránu zadejte hodnoty pro vaši VPN bránu.

w4ucdcjggbmx.png

· Název: Vnet1GW

· Typ brány: VPN

· Typ VPN: vyberte VPN typu Route-based

· SKU: VpnGw1

BGP je podporováno na Azure SKU VpnGw1, VpnGw2, VpnGw3, Standard a HighPerformance.
Základní SKU není podporováno. Zde musíte vybrat alespoň VpnGw1.

· Virtuální síť: Klikněte na Virtuální síť / Vybrat virtuální síť a na stránce Vybrat virtuální síť zvolte VNet1.

· Veřejná IP adresa: Toto nastavení určuje veřejný IP objekt, který bude přiřazen k VPN bráně.

-Nechte vybráno Vytvořit novou.

-Do textového pole zadejte Název pro vaši veřejnou IP adresu. Pro tento příklad použijte VNet1GWIP.

· Zaškrtněte volbu Konfigurovat BGP ASN a zadejte číslo ASN. Azure vyhrazuje následující ASN pro interní i externí peerování:

        · Veřejné ASN: 8074, 8075, 12076

        · Soukromé ASN: 65515, 65517, 65518, 65519, 65520

· Umístění: vyberte stejné umístění jako vaše VNet

4. Klikněte na Vytvořit pro zahájení vytváření VPN brány.

Po vytvoření brány klikněte na levé straně portálu na Všechny zdroje a otevřete bránu virtuální sítě pro zobrazení dalších informací. Veřejná IP adresa se zobrazí napravo.

4. Získání Azure BGP Peer IP adresy

Potřebujete získat BGP Peer IP adresu této VPN brány. Tuto adresu je třeba nakonfigurovat na ZyWALL jako BGP souseda.

Otevřete konfigurační stránku vaší Azure VPN brány pro získání této adresy.

34atj65u3n5c.png

5. Vytvoření lokální brány sítě

Lokální brána sítě obvykle odkazuje na vaše místní umístění. Pojmenujete lokalitu, aby na ni Azure mohl odkazovat, a poté zadáte IP adresu lokálního ZyWALL zařízení, ke kterému vytvoříte připojení.

1.       V portálu klikněte na +Vytvořit zdroj.

2.       Do vyhledávacího pole zadejte Lokální brána sítě a stiskněte Enter. Zobrazí se seznam výsledků. Klikněte na Lokální brána sítě a poté klikněte na tlačítko Vytvořit pro otevření stránky Vytvořit lokální bránu sítě.

3.       Na stránce Vytvořit lokální bránu sítě zadejte hodnoty pro vaši lokální bránu sítě.

Nejdůležitější částí je seznam adresních prostorů. Zde zadejte BGP peer IP adresu vašeho ZyWALL, obvykle IP adresu VTI tunelového rozhraní. V tomto příkladu je to 10.1.254.1/32

Zaškrtněte Konfigurovat BGP nastavení a zadejte BGP ASN vašeho ZyWALL.

BGP peer IP adresa: Zadejte IP adresu vašeho VTI rozhraní na ZyWALL. V tomto příkladu je to 10.1.254.1

9rrd3x2slk8z.png

6. Vytvoření VPN připojení

1.       Přejděte na stránku vaší virtuální VPN brány.

2.       Na stránce VNet1GW klikněte na Připojení. V horní části stránky Připojení klikněte na +Přidat pro otevření stránky Přidat připojení.

7uahk0fe9ssw.png

3.      Na stránce Přidat připojení nakonfigurujte hodnoty vašeho připojení. Vyberte Site-to-site (IPSec) jako typ připojení.

Zadejte Sdílený klíč (PSK), který musí být stejný jako předem sdílený klíč v nastavení VPN brány na vašem ZyWALL.

Poznámka: Předem sdílený klíč musí mít délku alespoň 8 až 32 znaků.

wcbrlvft8sb6.png

7. Povolení BGP na Azure VPN připojení

1.       Přejděte na stránku vytvořeného Azure VPN připojení.

2.       Klikněte na Nastavení pro otevření konfigurační stránky.

3.       Povolit BGP a poté klikněte na Uložit

dkuhb32e00dr.png

Po dokončení konfigurace VPN na Azure portálu můžete pokračovat s konfigurací souvisejících VPN nastavení na vašem ZyWALL.

8. Vytvoření pravidla VPN brány (Fáze 1)

Na webovém rozhraní ZyWALL přejděte na KONFIGURACE > VPN > IPSec VPN > VPN Brána, klikněte na Přidat pro vytvoření pravidla VPN brány.

Na stránce Přidat VPN bránu zadejte hodnoty vaší virtuální VPN brány.

meodw6099556.png

·         Povolit: zaškrtněte políčko pro aktivaci pravidla

·         Název: v tomto příkladu „Azure“ jako název pravidla

·         Verze IKE: IKEv2

·         Adresa Peer brány: vyberte statickou adresu a vyplňte veřejnou IP adresu Azure virtuální VPN brány do pole Primární

·         Předem sdílený klíč: vyplňte sdílený klíč (PSK) Azure VPN připojení

·         Doba životnosti SA: 28800 sekund

·         Šifrovací algoritmus: ponechte výchozí hodnotu, AES128

·         Autentizační algoritmus: ponechte výchozí hodnotu, SHA1

·         Skupina klíčů: ponechte výchozí hodnotu, DH2

9. Vytvoření pravidla VPN připojení (Fáze 2)

Na webovém rozhraní ZyWALL přejděte na KONFIGURACE > VPN > IPSec VPN > VPN Připojení, klikněte na Přidat pro vytvoření pravidla VPN připojení.

Na stránce Přidat VPN připojení zadejte hodnoty vaší virtuální VPN brány.

na4xvbix64cn.png

·         Povolit: zaškrtněte políčko pro aktivaci pravidla

·         Název: v tomto příkladu „Azure“ jako název pravidla

·         TCP MSS: 1379 bajtů

·         Scénář aplikace: vyberte VPN tunelové rozhraní pro VPN založené na trasách

·         VPN brána: vyberte „Azure“.

·         Doba životnosti SA: 3600 sekund

·         Šifrovací algoritmus: vyberte AES256

·         Autentizační algoritmus: ponechte výchozí hodnotu, SHA1

·         PFS: vyberte žádný

Poznámka: Šifrovací algoritmus Fáze 2 by měl být vybrán jako AES256, aby byla zajištěna plná kompatibilita s Azure VPN bránou.

10. Vytvoření VTI rozhraní

Na webovém rozhraní ZyWALL přejděte na KONFIGURACE > Síť > Rozhraní > VTI, klikněte na Přidat pro vytvoření VTI rozhraní

d68jwzldb683.png

·         Název rozhraní: vti0

·         Zóna: IPSec_VPN

·         vpn-pravidlo: Azure

·         IP adresa: 10.1.245.1

·         Maska podsítě: 255.255.255.252

11. Vytvoření statických tras pro BGP peer

Na webovém rozhraní ZyWALL přejděte na KONFIGURACE > Síť > Směrování > Statická trasa.

Přidejte trasu do podsítě brány Azure, v tomto příkladu 10.0.0.0/29

Toto je trasa pro TCP spojení BGP k Azure BGP peer IP adrese.

pr2fdpor8vdo.png

12. Konfigurace BGP

Na webovém rozhraní ZyWALL přejděte na KONFIGURACE > Síť > Směrování > BGP

1. Zadejte BGP ASN této lokality

2. Zadejte Router ID tohoto ZyWALL. Obvykle to bude IP adresa LAN rozhraní vašeho ZyWALL.

fj8ablursxea.png

3. Přidejte Azure BGP peer jako souseda. Zadejte IP adresu Azure BGP peer, zadejte BGP ASN Azure VNet a povolte eBGP Multihop.

Vyberte VTI rozhraní jako zdroj BGP paketů odesílaných mezi peery.

hdqb7kd1ioi9.png

4. Přidejte routerové záznamy, které chcete inzerovat Azure BGP peerovi.

2e5a5iv1vcs0.png

Články v tomto oddílu

Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 0
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.