Ez a cikk bemutatja, hogyan konfigurálhat egy Azure többhelyes kapcsolatot (VNet/virtuális hálózati átjárók) helyszínről helyszínre IPsec VPN-en keresztül, útvonal-alapú VPN és BGP használatával IKEv2 felett (USG FLEX / ATP / VPN sorozat).
Bevezetés
Ez a kapcsolat típus a Site-to-Site kapcsolat egyik változata. Több VPN kapcsolatot hoz létre a virtuális hálózati átjárójából, általában több helyszíni helyhez csatlakozva.
Több kapcsolat esetén útvonal-alapú VPN típust kell használnia (klasszikus VNetek esetén dinamikus átjárónak nevezik). Mivel egy virtuális hálózat csak egy VPN átjáróval rendelkezhet, az összes átjárón keresztüli kapcsolat megosztja a rendelkezésre álló sávszélességet. Ezt gyakran "többhelyes" kapcsolatnak hívják.
Mielőtt elkezdené
A konfiguráció megkezdése előtt ellenőrizze, hogy rendelkezik a következőkkel:
- - Van egy Azure virtuális hálózata, amelyet a Resource Manager telepítési modell segítségével hoztak létre
- - A virtuális hálózati átjáró az Ön VNet-jéhez útvonal-alapú (RouteBased). Ha szabályalapú VPN átjárója van, törölnie kell a virtuális hálózati átjárót, és újat kell létrehoznia RouteBased típussal.
- - Egyik helyi hálózati hely címtartománya sem fed át bármelyik csatlakoztatott VNet címtartományával.
- - Minden ZyWALL eszközhöz rendelkezik egy nyilvános IPv4 címmel, amely nem NAT mögött van. Ez kötelező követelmény.
1. Virtuális hálózat (VNet) létrehozása
1. Böngészőből lépjen be az Azure portálra és jelentkezzen be Azure fiókjával.
2. Kattintson a Erőforrás létrehozása gombra. Az Áruház keresése mezőbe írja be, hogy 'virtual network'. A találatok között keresse meg a Virtual network-öt és kattintson a megnyitáshoz.
3. A Virtual Network oldal alján a Telepítési modell kiválasztása listából válassza a Resource Manager opciót, majd kattintson a Létrehozás gombra. Ezzel megnyílik a 'Virtuális hálózat létrehozása' oldal.
2. Átjáró alhálózat létrehozása
A virtuális hálózati átjáró egy speciális alhálózatot használ, amit átjáró alhálózatnak (gateway subnet) neveznek. Ez a virtuális hálózat IP címterületének része, amelyet a virtuális hálózat létrehozásakor ad meg. Tartalmazza azokat az IP címeket, amelyeket a virtuális hálózati átjáró erőforrásai és szolgáltatásai használnak.
1. A portálon navigáljon arra a virtuális hálózatra, amelyhez átjárót szeretne létrehozni.
2. A VNet oldal Beállítások részében kattintson a Alhálózatok menüpontra az alhálózatok oldal kibontásához.
3. Az Alhálózatok oldalon kattintson a tetején a + Átjáró alhálózat gombra az Alhálózat hozzáadása oldal megnyitásához.
4. Az alhálózat Neve automatikusan 'GatewaySubnet' lesz. Ez a név szükséges ahhoz, hogy az Azure átjáró alhálózatként ismerje fel. Igazítsa az automatikusan kitöltött Cím tartomány értékeket a konfigurációs igényeihez.
5. Az alhálózat létrehozásához kattintson az oldal alján az OK gombra.
3. VPN átjáró létrehozása
1. A portál bal oldalán kattintson a + gombra, majd írja be a keresőbe, hogy 'Virtual Network Gateway'. A találatok között keresse meg és kattintson a Virtual network gateway elemre.
2. A 'Virtual network gateway' oldal alján kattintson a Létrehozás gombra. Ezzel megnyílik a Virtuális hálózati átjáró létrehozása oldal.
3. A Virtuális hálózati átjáró létrehozása oldalon adja meg a virtuális hálózati átjáró értékeit.
· Név: Vnet1GW
· Átjáró típusa: VPN
· VPN típus: válassza a Route-based VPN típust
· SKU: VpnGw1
A BGP támogatott az Azure VpnGw1, VpnGw2, VpnGw3, Standard és HighPerformance SKU-kon.
Basic SKU nem támogatott. Legalább VpnGw1-et kell választani.
· Virtuális hálózat: Kattintson a Virtuális hálózat/Válasszon virtuális hálózatot opcióra, majd válassza a VNet1-et.
· Nyilvános IP cím: Ez a beállítás határozza meg azt a nyilvános IP címet, amely a VPN átjáróhoz lesz társítva.
-Hagyja kiválasztva a Új létrehozása opciót.
-A szövegdobozba írja be a nyilvános IP cím nevét, például VNet1GWIP.
· Jelölje be a BGP ASN konfigurálása opciót, és írja be az ASN számot. Az Azure a következő ASN-eket tartja fenn belső és külső peeringhez:
· Nyilvános ASN-ek: 8074, 8075, 12076
· Privát ASN-ek: 65515, 65517, 65518, 65519, 65520
· Helyszín: válassza ugyanazt a helyszínt, mint a VNet esetében
4. Kattintson a Létrehozás gombra a VPN átjáró létrehozásának megkezdéséhez.
Az átjáró létrehozása után a portál bal oldalán kattintson az Összes erőforrás menüpontra, majd nyissa meg a virtuális hálózati átjárót a további információk megtekintéséhez. A nyilvános IP cím a jobb oldalon fog megjelenni.
4. Azure BGP peer IP címének beszerzése
Meg kell szereznie a VPN átjáró BGP peer IP címét. Ezt az IP címet kell konfigurálni ZyWALL eszközén BGP szomszédként.
Nyissa meg az Azure VPN átjáró konfigurációs oldalát ennek lekéréséhez.
5. Helyi hálózati átjáró létrehozása
A helyi hálózati átjáró általában az Ön helyszíni helyét jelenti. Nevet ad a helyszínnek, amelyre az Azure hivatkozhat, majd megadja a helyszíni ZyWALL eszköz IP címét, amelyhez a kapcsolatot létrehozza.
1. A portálon kattintson a +Erőforrás létrehozása gombra.
2. A keresőmezőbe írja be a Local network gateway kifejezést, majd nyomja meg az Enter billentyűt. A találatok között kattintson a Local network gateway elemre, majd a Létrehozás gombra a Local network gateway létrehozása oldal megnyitásához.
3. A Local network gateway létrehozása oldalon adja meg a helyi hálózati átjáró értékeit.
A legfontosabb rész a címterület lista. Ide írja be ZyWALL BGP peer IP címét, általában a VTI alagút interfész IP címét. Ebben a példában az 10.1.254.1/32.
Jelölje be a BGP beállítások konfigurálása opciót és írja be ZyWALL BGP ASN-jét.
BGP peer IP cím: írja be ZyWALL VTI interfészének IP címét. Ebben a példában 10.1.254.1.
6. VPN kapcsolat létrehozása
1. Navigáljon a virtuális hálózati átjáró oldalára.
2. A VNet1GW oldalán kattintson a Kapcsolatok menüpontra. A Kapcsolatok oldal tetején kattintson a +Hozzáadás gombra az Kapcsolat hozzáadása oldal megnyitásához.
3. Az Kapcsolat hozzáadása oldalon állítsa be a kapcsolat értékeit. Válassza a Site-to-site (IPSec) kapcsolat típust.
Írja be a Megosztott kulcsot (PSK), amelynek meg kell egyeznie a ZyWALL VPN átjáró beállításainál megadott előre megosztott kulccsal.
Megjegyzés: Az előre megosztott kulcs hossza legalább 8 és legfeljebb 32 karakter lehet.
7. BGP engedélyezése az Azure VPN kapcsolaton
1. Nyissa meg az Azure VPN kapcsolat oldalát.
2. Kattintson a Konfiguráció menüpontra a konfigurációs oldal megnyitásához.
3. Engedélyezze a BGP-t, majd kattintson a Mentés gombra.
Az Azure portálon történő VPN konfiguráció befejezése után konfigurálhatja a kapcsolódó VPN beállításokat ZyWALL eszközén.
8. VPN átjáró szabály létrehozása (1. fázis)
ZyWALL Web GUI-ban lépjen a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN
Átjáró menüpontra, majd kattintson a Hozzáadás gombra egy VPN átjáró szabály létrehozásához.
Az VPN átjáró hozzáadása oldalon adja meg a virtuális hálózati átjáró értékeit.
· Engedélyezés: jelölje be az Engedélyezés négyzetet a szabály aktiválásához
· Név: ebben a példában "Azure"
· IKE verzió: IKEv2
· Szomszéd átjáró címe: válassza a statikus címet, és töltse ki az Azure virtuális hálózati átjáró nyilvános IP címét az Elsődleges mezőbe
· Előre megosztott kulcs: töltse ki az Azure VPN kapcsolat megosztott kulcsával (PSK)
· SA élettartam: 28800 másodperc
· Titkosítási algoritmus: hagyja az alapértelmezett értéket, AES128
· Hitelesítési algoritmus: hagyja az alapértelmezett értéket, SHA1
· Kulcscsoport: hagyja az alapértelmezett értéket, DH2
9. VPN kapcsolat szabály létrehozása (2. fázis)
ZyWALL Web GUI-ban lépjen a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN
Kapcsolat menüpontra, majd kattintson a Hozzáadás gombra egy VPN kapcsolat szabály létrehozásához.
Az VPN kapcsolat hozzáadása oldalon adja meg a virtuális hálózati átjáró értékeit.
· Engedélyezés: jelölje be az Engedélyezés négyzetet a szabály aktiválásához
· Név: ebben a példában "Azure"
· TCP MSS: 1379 bájt
· Alkalmazási forgatókönyv: válassza a VPN alagút interfészt útvonal-alapú VPN esetén
· VPN átjáró: válassza az "Azure" opciót.
· SA élettartam: 3600 másodperc
· Titkosítási algoritmus: válassza az AES256 opciót
· Hitelesítési algoritmus: hagyja az alapértelmezett értéket, SHA1
· PFS: válassza a nincs opciót
Megjegyzés: A 2. fázis titkosítási algoritmusának AES256-nak kell lennie az Azure VPN átjáróval való teljes kompatibilitás érdekében.
10. VTI interfész létrehozása
ZyWALL Web GUI-ban lépjen a KONFIGURÁCIÓ > Hálózat > Interfész > VTI menüpontra, majd kattintson a Hozzáadás gombra egy VTI interfész létrehozásához
· Interfész neve: vti0
· Zóna: IPSec_VPN
· vpn-szabály: Azure
· IP cím: 10.1.245.1
· Alhálózati maszk: 255.255.255.252
11. Statikus útvonalak létrehozása a BGP peerhez
ZyWALL Web GUI-ban lépjen a KONFIGURÁCIÓ > Hálózat > Útvonalak > Statikus útvonal menüpontra.
Adjon hozzá útvonalat az Azure átjáró alhálózatához, ebben a példában 10.0.0.0/29
Ez az útvonal a TCP kapcsolatot szolgálja a BGP Azure BGP peer IP címéhez.
12. BGP konfigurálása
ZyWALL Web GUI-ban lépjen a KONFIGURÁCIÓ > Hálózat > Útvonalak > BGP menüpontra
1. Írja be a helyszín BGP ASN-jét
2. Írja be a ZyWALL Router ID-jét. Ez általában a ZyWALL LAN interfészének IP címe.
3. Adja hozzá az Azure BGP peert szomszédként. Írja be az Azure BGP peer IP címét, valamint az Azure VNet BGP ASN-jét. Engedélyezze az eBGP Multihop opciót.
Válassza a VTI interfészt a BGP csomagok forrásaként a peer között.
4. Adja hozzá a hirdetni kívánt útvonalakat az Azure BGP peer felé.

Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.