VPN - Reitityspohjaisen IPsec VPN:n määrittäminen Azureen (BGP IKEv2/IPSec:n yli)

Tässä artikkelissa näytetään, kuinka määritetään Azure-monipaikkayhteys (VNet/virtuaaliverkkosillat) sivustojen välisen IPsec VPN:n kautta käyttäen reitityspohjaista VPN:ää ja BGP:tä IKEv2:n yli (USG FLEX / ATP / VPN -sarjat).

Johdanto

Tämän tyyppinen yhteys on muunnelma sivustojen välisestä yhteydestä (Site-to-Site). Luo useampi VPN-yhteys virtuaaliverkkosillastasi, tyypillisesti yhdistäen useisiin paikallisiin toimipisteisiin.
Kun työskentelet useiden yhteyksien kanssa, sinun on käytettävä reitityspohjaista VPN-tyyppiä (tunnetaan dynaamisena siltana työskenneltäessä klassisten VNetien kanssa). Koska jokaisella virtuaaliverkolla voi olla vain yksi VPN-silta, kaikki sillan kautta kulkevat yhteydet jakavat käytettävissä olevan kaistanleveyden. Tätä kutsutaan usein "monipaikkayhteydeksi".

Ennen aloittamista

Ennen määrityksen aloittamista varmista, että sinulla on seuraavat:

  1. - Sinulla on Azure-virtuaaliverkko, joka on luotu Resource Manager -käyttöönotto-mallilla
  2. - Virtuaaliverkkosilta VNetillesi on reitityspohjainen (RouteBased). Jos sinulla on politiikkapohjainen VPN-silta, sinun on poistettava virtuaaliverkkosilta ja luotava uusi VPN-silta reitityspohjaisena.
  3. - Kunkin paikallisen verkon osoitealueet eivät ole päällekkäisiä niiden VNetien kanssa, joihin tämä VNet on yhdistetty.
  4. - Jokaiselle ZyWALL-laitteelle on julkinen IPv4-osoite, joka on suoraan internetiin näkyvä. IP-osoite ei saa sijaita NATin takana. Tämä on vaatimus.

4xfl3chatw7o.png

 

1. Luo virtuaaliverkko (VNet)

1.       Avaa selain ja siirry Azure-portaaliin ja kirjaudu sisään Azure-tililläsi.

2.       Napsauta Luo resurssi. Kirjoita Hae markkinapaikasta-kenttään 'virtual network'. Etsi listasta Virtual network ja avaa se napsauttamalla.

3.       Virtuaaliverkkosivun alalaidassa valitse Valitse käyttöönoton malli-valikosta Resource Manager ja napsauta sitten Luo. Tämä avaa 'Luo virtuaaliverkko' -sivun.

ekpusf18udsr.png

2. Luo silta-aliverkko

Virtuaaliverkkosilta käyttää tiettyä aliverkkoa, jota kutsutaan silta-aliverkoksi (gateway subnet). Se on osa virtuaaliverkon IP-osoiteavaruutta, jonka määrität luodessasi virtuaaliverkkoa. Se sisältää IP-osoitteet, joita virtuaaliverkkosillan resurssit ja palvelut käyttävät.

1.       Portaalissa siirry siihen virtuaaliverkkoon, jolle haluat luoda virtuaaliverkkosillan.

2.       VNet-sivun Asetukset-osiossa napsauta Aliverkot laajentaaksesi Aliverkot-sivua.

3.       Aliverkot-sivulla napsauta yläreunasta +Silta-aliverkko avataksesi Lisää aliverkko -sivun.

v7xc8ijlgk3w.png

 

4. Nimi aliverkollesi täytetään automaattisesti arvolla 'GatewaySubnet'. GatewaySubnet-arvo on pakollinen, jotta Azure tunnistaa aliverkon silta-aliverkoksi. Säädä automaattisesti täytetyt Osoiteavaruus-arvot vastaamaan määritystarpeitasi.

18ykjeocboi9.png

5. Luo aliverkko napsauttamalla sivun alareunasta OK.

3. Luo VPN-silta

1. Portaalin vasemmalla puolella napsauta + ja kirjoita hakukenttään 'Virtual Network Gateway'. Tuloksissa etsi ja napsauta Virtual network gateway.

2. 'Virtual network gateway' -sivun alareunassa napsauta Luo. Tämä avaa Luo virtuaaliverkkosilta -sivun.

3. Täytä Luo virtuaaliverkkosilta -sivulla arvot virtuaaliverkkosillallesi.

w4ucdcjggbmx.png

· Nimi: Vnet1GW

· Siltatyyppi: VPN

· VPN-tyyppi: valitse Reitityspohjainen VPN-tyyppi

· SKU: VpnGw1

BGP:tä tuetaan Azurella VpnGw1, VpnGw2, VpnGw3, Standard ja HighPerformance SKU:ssa.
Basic SKU ei ole tuettu. Tässä sinun tulee valita vähintään VpnGw1.

· Virtuaaliverkko: Napsauta Virtual network/Valitse virtuaaliverkko avataksesi Valitse virtuaaliverkko -sivun. Valitse VNet1.

· Julkinen IP-osoite: Tämä asetus määrittää julkisen IP-osoitteen objektin, joka liitetään VPN-siltaan.

- Jätä Luo uusi valittuna.

- Kirjoita tekstikenttään julkisen IP-osoitteen Nimi. Tässä harjoituksessa käytä nimeä VNet1GWIP.

· Valitse Määritä BGP ASN -vaihtoehto ja kirjoita ASN-numero. Azure varaa seuraavat ASN:t sekä sisäisiin että ulkoisiin peering-yhteyksiin:

         · Julkiset ASN:t: 8074, 8075, 12076

         · Yksityiset ASN:t: 65515, 65517, 65518, 65519, 65520

· Sijainti: valitse sama sijainti kuin VNetilläsi

4. Napsauta Luo aloittaaksesi VPN-sillan luomisen.

Sillan luomisen jälkeen napsauta portaalin vasemmalla puolella Kaikki resurssit ja avaa virtuaaliverkkosilta nähdäksesi lisätietoja. Julkinen IP-osoite näkyy oikealla puolella.

4. Hanki Azure BGP Peer IP -osoite

Sinun tulee hankkia tämän VPN-sillan BGP Peer -IP-osoite. Tätä osoitetta tarvitaan määrittämään BGP-naapuri ZyWALL-laitteessasi.

Avaa Azure VPN -sillan Määrityssivu saadaksesi sen.

34atj65u3n5c.png

5. Luo paikallinen verkonsilta

Paikallinen verkonsilta viittaa tyypillisesti paikalliseen toimipisteeseesi. Anna toimipaikalle nimi, jolla Azure voi viitata siihen, ja määritä sitten paikallisen ZyWALL-laitteen IP-osoite, johon yhteys luodaan.

1.       Portaalissa napsauta +Luo resurssi.

2.       Hakukenttään kirjoita Local network gateway ja paina Enter etsiäksesi. Tuloksissa napsauta Local network gateway ja sitten Luo avataksesi Luo paikallinen verkonsilta -sivun.

3.       Täytä Luo paikallinen verkonsilta -sivulla arvot paikalliselle verkonsillallesi.

Tärkein osa on osoiteavaruuslista. Tähän tulee ZyWALL-laitteesi BGP peer IP -osoite, yleensä VTI-tunnelin rajapinnan IP-osoite. Tässä esimerkissä se on 10.1.254.1/32.

Valitse Määritä BGP-asetukset ja kirjoita ZyWALL-laitteesi BGP ASN.

BGP peer IP -osoite: Kirjoita ZyWALL-laitteesi VTI-rajapinnan IP-osoite. Tässä esimerkissä se on 10.1.254.1

9rrd3x2slk8z.png

6. Luo VPN-yhteys

1.       Siirry ja avaa virtuaaliverkkosillan sivu.

2.       VNet1GW-sivulla napsauta Yhteydet. Yhteydet-sivun yläreunassa napsauta +Lisää avataksesi Lisää yhteys -sivun.

7uahk0fe9ssw.png

3.      Määritä Lisää yhteys -sivulla yhteyden arvot. Valitse yhteystyypiksi Site-to-site (IPSec).

Kirjoita Jaettu avain (PSK), joka täytyy olla sama kuin ZyWALL-laitteesi VPN-sillan esijakautunut avain.

Huom: Esijakautuneen avaimen tulee olla vähintään 8 ja enintään 32 merkkiä pitkä.

wcbrlvft8sb6.png

7. Ota BGP käyttöön Azure VPN -yhteydessä

1.       Siirry ja avaa luodun Azure VPN -yhteyden sivu.

2.       Napsauta Määritys avataksesi määrityssivun.

3.       Ota BGP käyttöön ja napsauta Tallenna

dkuhb32e00dr.png

Kun VPN-määritys on valmis Azure-portaalissa, voit konfiguroida vastaavat VPN-asetukset ZyWALL-laitteessasi.

8. Luo VPN-siltasääntö (Vaihe 1)

ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > VPN > IPSec VPN > VPN-silta, napsauta Lisää luodaksesi VPN-siltasäännön.

Lisää VPN-silta -sivulla määritä virtuaaliverkkosillan arvot.

meodw6099556.png

·         Ota käyttöön: valitse Ota käyttöön -valintaruutu aktivoidaksesi tämän säännön

·         Nimi: tässä esimerkissä säännön nimeksi “Azure”

·         IKE-versio: IKEv2

·         Naapurisillan osoite: valitse staattinen osoite ja täytä Azure-virtuaaliverkkosillan julkinen IP-osoite Pääasiallinen-kenttään

·         Esijakautunut avain: täytä Azure VPN -yhteyden jaettu avain (PSK)

·         SA:n elinaika: 28800 sekuntia

·         Salauksen algoritmi: pidä oletusarvo, AES128

·         Todennusalgoritmi: pidä oletusarvo, SHA1

·         Avaimen ryhmä: pidä oletusarvo, DH2

9. Luo VPN-yhteyssääntö (Vaihe 2)

ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > VPN > IPSec VPN > VPN-yhteys, napsauta Lisää luodaksesi VPN-yhteyssäännön.

Lisää VPN-yhteys -sivulla määritä virtuaaliverkkosillan arvot.

na4xvbix64cn.png

·         Ota käyttöön: valitse Ota käyttöön -valintaruutu aktivoidaksesi tämän säännön

·         Nimi: tässä esimerkissä säännön nimeksi “Azure”

·         TCP MSS: 1379 tavua

·         Sovelluskohtainen tilanne: valitse VPN Tunnel Interface reitityspohjaiselle VPN:lle

·         VPN-silta: valitse “Azure.”

·         SA:n elinaika: 3600 sekuntia

·         Salauksen algoritmi: valitse AES256

·         Todennusalgoritmi: pidä oletusarvo, SHA1

·         PFS: valitse ei mitään

Huom: Vaiheen 2 salauksen algoritmin tulee olla AES256, jotta se on täysin yhteensopiva Azure VPN -sillan kanssa.

10. Luo VTI-rajapinta

ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > Verkko > Rajapinta > VTI, napsauta Lisää luodaksesi VTI-rajapinnan

d68jwzldb683.png

·         Rajapinnan nimi: vti0

·         Alue: IPSec_VPN

·         vpn-sääntö: Azure

·         IP-osoite: 10.1.245.1

·         Aliverkon peite: 255.255.255.252

11. Luo staattiset reitit BGP-naapurille

ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > Verkko > Reititys > Staattinen reitti.

Lisää reitti Azure-silta-aliverkkoon, tässä esimerkissä 10.0.0.0/29

Tämä reitti on TCP-yhteydelle BGP:lle Azure BGP -naapurin IP-osoitteeseen.

pr2fdpor8vdo.png

12. Määritä BGP

ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > Verkko > Reititys > BGP

1. Kirjoita tämän toimipisteen BGP ASN

2. Kirjoita tämän ZyWALLin reitittimen tunniste (Router ID). Yleensä se on ZyWALLin LAN-rajapinnan IP-osoite.

fj8ablursxea.png

3. Lisää Azure BGP -naapuri naapureihin Kirjoita Azure BGP -naapurin IP-osoite Kirjoita Azure VNetin BGP ASN Ota käyttöön eBGP Multihop

Valitse VTI-rajapinta BGP-pakettien lähteeksi naapureiden välillä

hdqb7kd1ioi9.png

4. Lisää reitittimen ilmoitettavat reitit Azure BGP -naapurille

2e5a5iv1vcs0.png

Tämän osion artikkelit

Oliko tämä artikkeli hyödyllinen?
0/0 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.