Denne artikel viser, hvordan man konfigurerer en Azure multi-site forbindelse (VNet/Virtual Network gateways) via site-to-site IPsec VPN ved brug af route-baseret VPN og BGP over IKEv2 (USG FLEX / ATP / VPN-serien).
Introduktion
Denne type forbindelse er en variation af Site-to-Site forbindelsen. Du opretter mere end én VPN-forbindelse fra din virtuelle netværksgateway, typisk tilsluttet flere on-premises lokationer.
Når du arbejder med flere forbindelser, skal du bruge en Route-baseret VPN type (kendt som en dynamisk gateway, når du arbejder med klassiske VNets). Fordi hvert virtuelt netværk kun kan have én VPN-gateway, deler alle forbindelser gennem gatewayen den tilgængelige båndbredde. Dette kaldes ofte en "multi-site" forbindelse.
Før du begynder
Før du begynder konfigurationen, skal du sikre dig, at du har følgende:
- - Du har et Azure virtuelt netværk, der er oprettet ved brug af Resource Manager deploymentsmodellen
- - Den virtuelle netværksgateway for dit VNet er RouteBased. Hvis du har en policy-baseret VPN-gateway, skal du slette den virtuelle netværksgateway og oprette en ny VPN-gateway som RouteBased.
- - Ingen af adresseområderne for de lokale netværkssteder overlapper for nogen af de VNets, som dette VNet forbinder til.
- - En offentligt tilgængelig IPv4-adresse for hver ZyWALL-enhed. IP-adressen må ikke være placeret bag en NAT. Dette er et krav.
1. Opret et virtuelt netværk (VNet)
1. Fra en browser, gå til Azure-portalen og log ind med din Azure-konto.
2. Klik på Opret en ressource. I feltet Søg i markedspladsen skriv 'virtual network'. Find Virtual network i listen og klik for at åbne Virtual Network-siden.
3. Nederst på Virtual Network-siden, vælg Resource Manager fra listen Vælg en deploymentsmodel og klik derefter på Opret. Dette åbner siden 'Opret virtuelt netværk'.
2. Opret gateway-subnettet
Den virtuelle netværksgateway bruger et specifikt subnet kaldet gateway-subnet. Det er en del af det virtuelle netværks IP-adresseområde, som du angiver ved oprettelse af dit virtuelle netværk. Det indeholder IP-adresser, som de virtuelle netværksgateway-ressourcer og -tjenester bruger.
1. I portalen, gå til det virtuelle netværk, hvor du vil oprette en virtuel netværksgateway.
2. I Indstillinger-sektionen på din VNet-side, klik på Subnets for at udvide Subnets-siden.
3. På Subnets-siden, klik på +Gateway subnet øverst for at åbne siden Tilføj subnet.
4. Navnet for dit subnet udfyldes automatisk med værdien 'GatewaySubnet'. Værdien GatewaySubnet er påkrævet for at Azure kan genkende subnettet som gateway-subnet. Juster de automatisk udfyldte Adresseområde værdier, så de passer til dine konfigurationskrav.
5. For at oprette subnettet, klik på OK nederst på siden.
3. Opret VPN-gatewayen
1. På portalens venstre side, klik på + og skriv 'Virtual Network Gateway' i søgefeltet. I Resultater, find og klik på Virtual network gateway.
2. Nederst på siden 'Virtual network gateway', klik på Opret. Dette åbner siden Opret virtuel netværksgateway.
3. På siden Opret virtuel netværksgateway, angiv værdierne for din virtuelle netværksgateway.
· Navn: Vnet1GW
· Gateway-type: VPN
· VPN-type: vælg Route-based VPN-type
· SKU: VpnGw1
BGP understøttes på Azure VpnGw1, VpnGw2, VpnGw3, Standard og HighPerformance SKU.
Basic SKU understøttes IKKE. Her skal du vælge mindst VpnGw1.
· Virtuelt netværk: Klik på Virtuelt netværk/Vælg et virtuelt netværk for at åbne siden Vælg et virtuelt netværk. Vælg VNet1.
· Offentlig IP-adresse: Denne indstilling angiver den offentlige IP-adresse, som bliver tilknyttet VPN-gatewayen.
- Lad Opret ny være valgt.
- I tekstboksen, skriv et Navn til din offentlige IP-adresse. Brug i denne øvelse VNet1GWIP.
· Marker Konfigurer BGP ASN og indtast ASN-nummeret. Azure reserverer følgende ASNs til både interne og eksterne peerings:
· Offentlige ASNs: 8074, 8075, 12076
· Private ASNs: 65515, 65517, 65518, 65519, 65520
· Placering: vælg samme placering som dit VNet
4. Klik på Opret for at begynde oprettelsen af VPN-gatewayen.
Efter gatewayen er oprettet, klik på venstre side af portalen på Alle ressourcer og klik ind på den virtuelle netværksgateway for at se flere oplysninger. Den offentlige IP-adresse vises til højre.
4. Hent Azure BGP Peer IP-adressen
Du skal hente BGP Peer IP-adressen for denne VPN-gateway. Denne adresse skal konfigureres på din ZyWALL som BGP-nabo.
Åbn konfigurationssiden for din Azure VPN-gateway for at finde den.
5. Opret den lokale netværksgateway
Den lokale netværksgateway refererer typisk til din on-premises lokation. Du giver stedet et navn, som Azure kan referere til, og angiver derefter IP-adressen på den on-premises ZyWALL-enhed, som du vil oprette forbindelse til.
1. I portalen, klik på +Opret en ressource.
2. I søgefeltet, skriv Local network gateway og tryk på Enter for at søge. Dette vil returnere en liste med resultater. Klik på Local network gateway og klik derefter på Opret for at åbne siden Opret lokal netværksgateway.
3. På siden Opret lokal netværksgateway, angiv værdierne for din lokale netværksgateway.
Den vigtigste del er adresseområdelisten. Her angives BGP peer IP-adressen for din ZyWALL, normalt IP-adressen på VTI tunnelinterface. I dette eksempel er det 10.1.254.1/32
Marker Konfigurer BGP-indstillinger og indtast BGP ASN for din ZyWALL.
BGP peer IP-adresse: Indtast IP-adressen på din VTI-interface på ZyWALL. I dette eksempel er det 10.1.254.1
6. Opret VPN-forbindelsen
1. Naviger til og åbn siden for din virtuelle netværksgateway.
2. På siden for VNet1GW, klik på Forbindelser. Øverst på Forbindelser-siden, klik på +Tilføj for at åbne siden Tilføj forbindelse.
3. På siden Tilføj forbindelse, konfigurer værdierne for din forbindelse. Vælg Site-to-site (IPSec) som forbindelsestype.
Skriv Delte nøgle (PSK), som skal konfigureres til samme værdi som den Pre-Shared Key, der er angivet på VPN-gatewayens indstillingsside på din ZyWALL.
Bemærk: Pre-shared key skal være mindst 8 til 32 tegn lang.
7. Aktivér BGP på Azure VPN-forbindelsen
1. Naviger til og åbn siden for den oprettede Azure VPN-forbindelse.
2. Klik på Konfiguration for at åbne konfigurationssiden
3. Aktivér BGP og klik derefter på Gem
Efter at have færdiggjort VPN-konfigurationen i Azure-portalen, kan du konfigurere de relaterede VPN-indstillinger på din ZyWALL.
8. Opret VPN Gateway-reglen (Fase 1)
På ZyWALL Web GUI, gå til KONFIGURATION > VPN > IPSec VPN > VPN
Gateway, klik Tilføj for at oprette en VPN Gateway-regel.
På siden Tilføj VPN Gateway, angiv værdierne for din virtuelle netværksgateway.
· Aktivér: marker boksen Aktiver for at aktivere denne regel
· Navn: “Azure” som regelnavn i dette eksempel
· IKE-version: IKEv2
· Peer Gateway-adresse: vælg statisk adresse og udfyld den offentlige IP-adresse for Azure virtuelle netværksgateway i Primær-feltet
· Pre-Shared Key: udfyld den Delte Nøgle (PSK) for Azure VPN-forbindelsen
· SA Levetid: 28800 sekunder
· Krypteringsalgoritme: behold standardværdien, AES128
· Godkendelsesalgoritme: behold standardværdien, SHA1
· Nøglegruppe: behold standardværdien, DH2
9. Opret VPN-forbindelsesregel (Fase 2)
På ZyWALL Web GUI, gå til KONFIGURATION > VPN > IPSec VPN > VPN
Forbindelse, klik Tilføj for at oprette en VPN-forbindelsesregel.
På siden Tilføj VPN-forbindelse, angiv værdierne for din virtuelle netværksgateway.
· Aktivér: marker boksen Aktiver for at aktivere denne regel
· Navn: “Azure” som regelnavn i dette eksempel
· TCP MSS: 1379 Bytes
· Anvendelsesscenario: vælg VPN Tunnel Interface for route-baseret VPN
· VPN Gateway: vælg “Azure.”
· SA Levetid: 3600 sekunder
· Krypteringsalgoritme: vælg AES256
· Godkendelsesalgoritme: behold standardværdien, SHA1
· PFS: vælg ingen
Bemærk: Fase 2 Krypteringsalgoritmen skal vælges som AES256 for fuld kompatibilitet med Azure VPN-gateway.
10. Opret en VTI-interface
På ZyWALL Web GUI, gå til KONFIGURATION > Netværk > Interface > VTI, klik Tilføj for at oprette en VTI-interface
· Interfacenavn: vti0
· Zone: IPSec_VPN
· vpn-regel: Azure
· IP-adresse: 10.1.245.1
· Subnetmaske: 255.255.255.252
11. Opret statiske ruter for BGP-peer
På ZyWALL Web GUI, gå til KONFIGURATION > Netværk > Routing > Statisk rute.
Tilføj rute til Gateway Subnet for Azure, i dette eksempel er det 10.0.0.0/29
Dette er ruten for TCP-forbindelsen af BGP til Azure BGP peer IP-adressen.
12. Konfigurer BGP
På ZyWALL Web GUI, gå til KONFIGURATION > Netværk > Routing > BGP
1. Indtast BGP ASN for dette site
2. Indtast Router ID for denne ZyWALL. Det vil normalt være IP-adressen på LAN-interfacet på din ZyWALL.
3. Tilføj Azure BGP peer som nabo. Indtast Azure BGP peer IP-adressen. Indtast BGP ASN for Azure VNet. Aktivér eBGP Multihop
Vælg VTI-interface som kilde for BGP-pakker sendt mellem peers
4. Tilføj de routerposter, som du ønsker at annoncere til Azure BGP peer

Kommentarer
0 kommentarerLog ind for at kommentere.