Tässä artikkelissa näytetään, kuinka määritetään Azure-monipaikkayhteys (VNet/virtuaaliverkkosillat) sivustojen välisen IPsec VPN:n kautta käyttäen reitityspohjaista VPN:ää ja BGP:tä IKEv2:n yli (USG FLEX / ATP / VPN -sarjat).
Johdanto
Tämän tyyppinen yhteys on muunnelma sivustojen välisestä yhteydestä (Site-to-Site). Luo useampi VPN-yhteys virtuaaliverkkosillastasi, tyypillisesti yhdistäen useisiin paikallisiin toimipisteisiin.
Kun työskentelet useiden yhteyksien kanssa, sinun on käytettävä reitityspohjaista VPN-tyyppiä (tunnetaan dynaamisena siltana työskenneltäessä klassisten VNetien kanssa). Koska jokaisella virtuaaliverkolla voi olla vain yksi VPN-silta, kaikki sillan kautta kulkevat yhteydet jakavat käytettävissä olevan kaistanleveyden. Tätä kutsutaan usein "monipaikkayhteydeksi".
Ennen aloittamista
Ennen määrityksen aloittamista varmista, että sinulla on seuraavat:
- - Sinulla on Azure-virtuaaliverkko, joka on luotu Resource Manager -käyttöönotto-mallilla
- - Virtuaaliverkkosilta VNetillesi on reitityspohjainen (RouteBased). Jos sinulla on politiikkapohjainen VPN-silta, sinun on poistettava virtuaaliverkkosilta ja luotava uusi VPN-silta reitityspohjaisena.
- - Kunkin paikallisen verkon osoitealueet eivät ole päällekkäisiä niiden VNetien kanssa, joihin tämä VNet on yhdistetty.
- - Jokaiselle ZyWALL-laitteelle on julkinen IPv4-osoite, joka on suoraan internetiin näkyvä. IP-osoite ei saa sijaita NATin takana. Tämä on vaatimus.
1. Luo virtuaaliverkko (VNet)
1. Avaa selain ja siirry Azure-portaaliin ja kirjaudu sisään Azure-tililläsi.
2. Napsauta Luo resurssi. Kirjoita Hae markkinapaikasta-kenttään 'virtual network'. Etsi listasta Virtual network ja avaa se napsauttamalla.
3. Virtuaaliverkkosivun alalaidassa valitse Valitse käyttöönoton malli-valikosta Resource Manager ja napsauta sitten Luo. Tämä avaa 'Luo virtuaaliverkko' -sivun.
2. Luo silta-aliverkko
Virtuaaliverkkosilta käyttää tiettyä aliverkkoa, jota kutsutaan silta-aliverkoksi (gateway subnet). Se on osa virtuaaliverkon IP-osoiteavaruutta, jonka määrität luodessasi virtuaaliverkkoa. Se sisältää IP-osoitteet, joita virtuaaliverkkosillan resurssit ja palvelut käyttävät.
1. Portaalissa siirry siihen virtuaaliverkkoon, jolle haluat luoda virtuaaliverkkosillan.
2. VNet-sivun Asetukset-osiossa napsauta Aliverkot laajentaaksesi Aliverkot-sivua.
3. Aliverkot-sivulla napsauta yläreunasta +Silta-aliverkko avataksesi Lisää aliverkko -sivun.
4. Nimi aliverkollesi täytetään automaattisesti arvolla 'GatewaySubnet'. GatewaySubnet-arvo on pakollinen, jotta Azure tunnistaa aliverkon silta-aliverkoksi. Säädä automaattisesti täytetyt Osoiteavaruus-arvot vastaamaan määritystarpeitasi.
5. Luo aliverkko napsauttamalla sivun alareunasta OK.
3. Luo VPN-silta
1. Portaalin vasemmalla puolella napsauta + ja kirjoita hakukenttään 'Virtual Network Gateway'. Tuloksissa etsi ja napsauta Virtual network gateway.
2. 'Virtual network gateway' -sivun alareunassa napsauta Luo. Tämä avaa Luo virtuaaliverkkosilta -sivun.
3. Täytä Luo virtuaaliverkkosilta -sivulla arvot virtuaaliverkkosillallesi.
· Nimi: Vnet1GW
· Siltatyyppi: VPN
· VPN-tyyppi: valitse Reitityspohjainen VPN-tyyppi
· SKU: VpnGw1
BGP:tä tuetaan Azurella VpnGw1, VpnGw2, VpnGw3, Standard ja HighPerformance SKU:ssa.
Basic SKU ei ole tuettu. Tässä sinun tulee valita vähintään VpnGw1.
· Virtuaaliverkko: Napsauta Virtual network/Valitse virtuaaliverkko avataksesi Valitse virtuaaliverkko -sivun. Valitse VNet1.
· Julkinen IP-osoite: Tämä asetus määrittää julkisen IP-osoitteen objektin, joka liitetään VPN-siltaan.
- Jätä Luo uusi valittuna.
- Kirjoita tekstikenttään julkisen IP-osoitteen Nimi. Tässä harjoituksessa käytä nimeä VNet1GWIP.
· Valitse Määritä BGP ASN -vaihtoehto ja kirjoita ASN-numero. Azure varaa seuraavat ASN:t sekä sisäisiin että ulkoisiin peering-yhteyksiin:
· Julkiset ASN:t: 8074, 8075, 12076
· Yksityiset ASN:t: 65515, 65517, 65518, 65519, 65520
· Sijainti: valitse sama sijainti kuin VNetilläsi
4. Napsauta Luo aloittaaksesi VPN-sillan luomisen.
Sillan luomisen jälkeen napsauta portaalin vasemmalla puolella Kaikki resurssit ja avaa virtuaaliverkkosilta nähdäksesi lisätietoja. Julkinen IP-osoite näkyy oikealla puolella.
4. Hanki Azure BGP Peer IP -osoite
Sinun tulee hankkia tämän VPN-sillan BGP Peer -IP-osoite. Tätä osoitetta tarvitaan määrittämään BGP-naapuri ZyWALL-laitteessasi.
Avaa Azure VPN -sillan Määrityssivu saadaksesi sen.
5. Luo paikallinen verkonsilta
Paikallinen verkonsilta viittaa tyypillisesti paikalliseen toimipisteeseesi. Anna toimipaikalle nimi, jolla Azure voi viitata siihen, ja määritä sitten paikallisen ZyWALL-laitteen IP-osoite, johon yhteys luodaan.
1. Portaalissa napsauta +Luo resurssi.
2. Hakukenttään kirjoita Local network gateway ja paina Enter etsiäksesi. Tuloksissa napsauta Local network gateway ja sitten Luo avataksesi Luo paikallinen verkonsilta -sivun.
3. Täytä Luo paikallinen verkonsilta -sivulla arvot paikalliselle verkonsillallesi.
Tärkein osa on osoiteavaruuslista. Tähän tulee ZyWALL-laitteesi BGP peer IP -osoite, yleensä VTI-tunnelin rajapinnan IP-osoite. Tässä esimerkissä se on 10.1.254.1/32.
Valitse Määritä BGP-asetukset ja kirjoita ZyWALL-laitteesi BGP ASN.
BGP peer IP -osoite: Kirjoita ZyWALL-laitteesi VTI-rajapinnan IP-osoite. Tässä esimerkissä se on 10.1.254.1
6. Luo VPN-yhteys
1. Siirry ja avaa virtuaaliverkkosillan sivu.
2. VNet1GW-sivulla napsauta Yhteydet. Yhteydet-sivun yläreunassa napsauta +Lisää avataksesi Lisää yhteys -sivun.
3. Määritä Lisää yhteys -sivulla yhteyden arvot. Valitse yhteystyypiksi Site-to-site (IPSec).
Kirjoita Jaettu avain (PSK), joka täytyy olla sama kuin ZyWALL-laitteesi VPN-sillan esijakautunut avain.
Huom: Esijakautuneen avaimen tulee olla vähintään 8 ja enintään 32 merkkiä pitkä.
7. Ota BGP käyttöön Azure VPN -yhteydessä
1. Siirry ja avaa luodun Azure VPN -yhteyden sivu.
2. Napsauta Määritys avataksesi määrityssivun.
3. Ota BGP käyttöön ja napsauta Tallenna
Kun VPN-määritys on valmis Azure-portaalissa, voit konfiguroida vastaavat VPN-asetukset ZyWALL-laitteessasi.
8. Luo VPN-siltasääntö (Vaihe 1)
ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > VPN > IPSec VPN > VPN-silta, napsauta Lisää luodaksesi VPN-siltasäännön.
Lisää VPN-silta -sivulla määritä virtuaaliverkkosillan arvot.
· Ota käyttöön: valitse Ota käyttöön -valintaruutu aktivoidaksesi tämän säännön
· Nimi: tässä esimerkissä säännön nimeksi “Azure”
· IKE-versio: IKEv2
· Naapurisillan osoite: valitse staattinen osoite ja täytä Azure-virtuaaliverkkosillan julkinen IP-osoite Pääasiallinen-kenttään
· Esijakautunut avain: täytä Azure VPN -yhteyden jaettu avain (PSK)
· SA:n elinaika: 28800 sekuntia
· Salauksen algoritmi: pidä oletusarvo, AES128
· Todennusalgoritmi: pidä oletusarvo, SHA1
· Avaimen ryhmä: pidä oletusarvo, DH2
9. Luo VPN-yhteyssääntö (Vaihe 2)
ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > VPN > IPSec VPN > VPN-yhteys, napsauta Lisää luodaksesi VPN-yhteyssäännön.
Lisää VPN-yhteys -sivulla määritä virtuaaliverkkosillan arvot.
· Ota käyttöön: valitse Ota käyttöön -valintaruutu aktivoidaksesi tämän säännön
· Nimi: tässä esimerkissä säännön nimeksi “Azure”
· TCP MSS: 1379 tavua
· Sovelluskohtainen tilanne: valitse VPN Tunnel Interface reitityspohjaiselle VPN:lle
· VPN-silta: valitse “Azure.”
· SA:n elinaika: 3600 sekuntia
· Salauksen algoritmi: valitse AES256
· Todennusalgoritmi: pidä oletusarvo, SHA1
· PFS: valitse ei mitään
Huom: Vaiheen 2 salauksen algoritmin tulee olla AES256, jotta se on täysin yhteensopiva Azure VPN -sillan kanssa.
10. Luo VTI-rajapinta
ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > Verkko > Rajapinta > VTI, napsauta Lisää luodaksesi VTI-rajapinnan
· Rajapinnan nimi: vti0
· Alue: IPSec_VPN
· vpn-sääntö: Azure
· IP-osoite: 10.1.245.1
· Aliverkon peite: 255.255.255.252
11. Luo staattiset reitit BGP-naapurille
ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > Verkko > Reititys > Staattinen reitti.
Lisää reitti Azure-silta-aliverkkoon, tässä esimerkissä 10.0.0.0/29
Tämä reitti on TCP-yhteydelle BGP:lle Azure BGP -naapurin IP-osoitteeseen.
12. Määritä BGP
ZyWALLin Web-käyttöliittymässä siirry kohtaan KONFIGURAATIO > Verkko > Reititys > BGP
1. Kirjoita tämän toimipisteen BGP ASN
2. Kirjoita tämän ZyWALLin reitittimen tunniste (Router ID). Yleensä se on ZyWALLin LAN-rajapinnan IP-osoite.
3. Lisää Azure BGP -naapuri naapureihin Kirjoita Azure BGP -naapurin IP-osoite Kirjoita Azure VNetin BGP ASN Ota käyttöön eBGP Multihop
Valitse VTI-rajapinta BGP-pakettien lähteeksi naapureiden välillä
4. Lisää reitittimen ilmoitettavat reitit Azure BGP -naapurille

Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.