Dit artikel laat zien hoe u een Azure multi-site verbinding (VNet/Virtual Network gateways) configureert via site-to-site IPsec VPN met route-based VPN en BGP over IKEv2 (USG FLEX / ATP / VPN series).
Inleiding
Dit type verbinding is een variant van de Site-to-Site verbinding. U maakt meer dan één VPN-verbinding vanaf uw virtuele netwerk gateway, meestal verbonden met meerdere on-premises locaties.
Bij het werken met meerdere verbindingen moet u het type Route-based VPN gebruiken (bekend als een dynamische gateway bij het werken met klassieke VNets). Omdat elk virtueel netwerk slechts één VPN-gateway kan hebben, delen alle verbindingen via de gateway de beschikbare bandbreedte. Dit wordt vaak een "multi-site" verbinding genoemd.
Voordat u begint
Voordat u begint met configureren, controleer of u het volgende hebt:
- -U hebt een Azure virtueel netwerk dat is gemaakt met het Resource Manager implementatiemodel
- -De virtuele netwerk gateway voor uw VNet is RouteBased. Als u een policy-based VPN gateway hebt, moet u de virtuele netwerk gateway verwijderen en een nieuwe VPN gateway maken als RouteBased.
- -Geen van de adresbereiken van de lokale netwerklocaties overlappen voor een van de VNets waarmee dit VNet verbinding maakt.
- -Een extern zichtbaar publiek IPv4-adres voor elk ZyWALL-apparaat. Het IP-adres mag niet achter een NAT zitten. Dit is een vereiste.
1. Maak een virtueel netwerk (VNet)
1. Open een browser, ga naar de Azure portal en meld u aan met uw Azure-account.
2. Klik op Create a resource. Typ in het veld Search the marketplace 'virtual network'. Zoek Virtual network in de lijst en klik om de Virtual Network-pagina te openen.
3. Onderaan de Virtual Network-pagina, selecteer in de lijst Select a deployment model de optie Resource Manager en klik vervolgens op Create. Dit opent de pagina 'Create virtual network'.
2. Maak het gateway subnet
De virtuele netwerk gateway gebruikt een specifiek subnet genaamd gateway subnet. Dit is een onderdeel van het IP-adresbereik van het virtuele netwerk dat u opgeeft bij het maken van het virtuele netwerk. Het bevat IP-adressen die door de virtuele netwerk gateway resources en services worden gebruikt.
1. Navigeer in de portal naar het virtuele netwerk waarvoor u een virtuele netwerk gateway wilt maken.
2. Klik in de sectie Settings van uw VNet-pagina op Subnets om de Subnets-pagina uit te vouwen.
3. Klik op de Subnets-pagina bovenaan op +Gateway subnet om de pagina Add subnet te openen.
4. De Name van uw subnet wordt automatisch ingevuld met de waarde 'GatewaySubnet'. De waarde GatewaySubnet is vereist zodat Azure het subnet als gateway subnet herkent. Pas de automatisch ingevulde Address range waarden aan om aan uw configuratievereisten te voldoen.
5. Klik onderaan de pagina op OK om het subnet aan te maken.
3. Maak de VPN gateway
1. Klik links op de portalpagina op + en typ 'Virtual Network Gateway' in de zoekbalk. Zoek in Results en klik op Virtual network gateway.
2. Onderaan de pagina 'Virtual network gateway', klik op Create. Dit opent de pagina Create virtual network gateway.
3. Vul op de pagina Create virtual network gateway de waarden in voor uw virtuele netwerk gateway.
· Name: Vnet1GW
· Gateway type: VPN
· VPN type: selecteer het Route-based VPN-type
· SKU: VpnGw1
BGP wordt ondersteund op Azure VpnGw1, VpnGw2, VpnGw3, Standard en HighPerformance SKU.
Basic SKU wordt NIET ondersteund. Hier moet u minimaal VpnGw1 selecteren.
· Virtual network: Klik op Virtual network/Choose a virtual network om de pagina Choose a virtual network te openen. Selecteer VNet1.
· Public IP address: Deze instelling specificeert het publieke IP-adresobject dat wordt gekoppeld aan de VPN gateway.
-Laat Create new geselecteerd.
-Typ in het tekstvak een Name voor uw publieke IP-adres. Gebruik voor deze oefening VNet1GWIP.
· Vink de optie Configure BGP ASN aan en vul het ASN-nummer in. Azure reserveert de volgende ASNs voor zowel interne als externe peerings:
· Publieke ASNs: 8074, 8075, 12076
· Private ASNs: 65515, 65517, 65518, 65519, 65520
· Location: selecteer dezelfde locatie als uw VNet
4. Klik op Create om de VPN gateway aan te maken.
Nadat de gateway is gemaakt, klikt u links op de portalpagina op All resources en opent u de virtuele netwerk gateway om meer informatie te bekijken. Het publieke IP-adres wordt aan de rechterkant weergegeven.
4. Verkrijg het Azure BGP Peer IP-adres
U moet het BGP Peer IP-adres van deze VPN Gateway verkrijgen. Dit adres is nodig om te configureren op uw ZyWALL als de BGP buur.
Open de configuratiepagina van uw Azure VPN Gateway om het te verkrijgen.
5. Maak de lokale netwerk gateway
De lokale netwerk gateway verwijst meestal naar uw on-premises locatie. U geeft de locatie een naam waarmee Azure ernaar kan verwijzen, en specificeert vervolgens het IP-adres van het on-premises ZyWALL-apparaat waarmee u een verbinding maakt.
1. Klik in de portal op +Create a resource.
2. Typ in het zoekvak Local network gateway en druk op Enter om te zoeken. Er verschijnt een lijst met resultaten. Klik op Local network gateway en klik vervolgens op de knop Create om de pagina Create local network gateway te openen.
3. Vul op de pagina Create local network gateway de waarden in voor uw lokale netwerk gateway.
Het belangrijkste deel is de lijst met adresruimten. Hier vult u het BGP peer IP-adres van uw ZyWALL in, meestal het IP-adres van de VTI tunnelinterface. In dit voorbeeld is dat 10.1.254.1/32
Vink Configure BGP settings aan en vul het BGP ASN van uw ZyWALL in.
BGP peer IP-adres: Vul het IP-adres in van uw VTI-interface op ZyWALL. In dit voorbeeld is dat 10.1.254.1
6. Maak de VPN verbinding
1. Navigeer naar en open de pagina van uw virtuele netwerk gateway.
2. Klik op de pagina van VNet1GW op Connections. Klik bovenaan de Connections-pagina op +Add om de pagina Add connection te openen.
3. Stel op de pagina Add connection de waarden in voor uw verbinding. Selecteer Site-to-site (IPSec) als verbindingstype.
Typ de Shared key (PSK) in die u moet configureren met dezelfde waarde als de Pre-Shared Key in de VPN gateway instellingenpagina van uw ZyWALL.
Opmerking: De Pre-shared key moet tussen 8 en 32 tekens lang zijn.
7. Schakel BGP in op Azure VPN-verbinding
1. Navigeer naar en open de pagina van de aangemaakte Azure VPN-verbinding.
2. Klik op Configuration om de configuratiepagina te openen.
3. Schakel BGP in en klik op Opslaan
Na het voltooien van de VPN-configuratie in de Azure portal kunt u de gerelateerde VPN-instellingen op uw ZyWALL configureren.
8. Maak de VPN Gateway Regel (Fase 1)
Ga in de ZyWALL Web GUI naar CONFIGURATION > VPN > IPSec VPN > VPN Gateway en klik op Toevoegen om een VPN Gateway regel te maken.
Vul op de pagina Add VPN Gateway de waarden in voor uw virtuele netwerk gateway.
· Enable: vink het vakje Enable aan om deze regel te activeren
· Name: “Azure” als voorbeeldnaam voor de regel
· IKE Version: IKEv2
· Peer Gateway Address: selecteer statisch adres en vul het publieke IP-adres van de Azure virtuele netwerk gateway in het veld Primary in
· Pre-Shared Key: vul de Shared Key (PSK) van de Azure VPN-verbinding in
· SA Life Time: 28800 seconden
· Encryption algorithm: behoud de standaardwaarde, AES128
· Authentication algorithm: behoud de standaardwaarde, SHA1
· Key Group: behoud de standaardwaarde, DH2
9. Maak de VPN Connection Regel (Fase 2)
Ga in de ZyWALL Web GUI naar CONFIGURATION > VPN > IPSec VPN > VPN Connection en klik op Toevoegen om een VPN Connection regel te maken.
Vul op de pagina Add VPN Connection de waarden in voor uw virtuele netwerk gateway.
· Enable: vink het vakje Enable aan om deze regel te activeren
· Name: “Azure” als voorbeeldnaam voor de regel
· TCP MSS: 1379 Bytes
· Application Scenario: selecteer VPN Tunnel Interface voor route-based VPN
· VPN Gateway: selecteer “Azure.”
· SA Life Time: 3600 seconden
· Encryption algorithm: selecteer AES256
· Authentication algorithm: behoud de standaardwaarde, SHA1
· PFS: selecteer none
Opmerking: De encryptie-algoritme voor Fase 2 moet AES256 zijn om volledig compatibel te zijn met de Azure VPN gateway.
10. Maak een VTI Interface
Ga in de ZyWALL Web GUI naar CONFIGURATION > Network > Interface > VTI en klik op Toevoegen om een VTI interface te maken
· Interface Name: vti0
· Zone: IPSec_VPN
· vpn-rule: Azure
· IP Address: 10.1.245.1
· Subnet Mask: 255.255.255.252
11. Maak statische routes voor BGP peer
Ga in de ZyWALL Web GUI naar CONFIGURATION > Network > Routing > Static Route.
Voeg een route toe naar het Gateway Subnet van Azure, in dit voorbeeld is dat 10.0.0.0/29
Dit is de route voor de TCP-verbinding van BGP naar het Azure BGP peer IP-adres.
12. Configureer BGP
Ga in de ZyWALL Web GUI naar CONFIGURATION > Network > Routing > BGP
1. Vul het BGP ASN in van deze locatie
2. Vul de Router ID in van deze ZyWALL. Meestal is dit het IP-adres van de LAN-interface van uw ZyWALL.
3. Voeg de Azure BGP peer toe als buur. Vul het Azure BGP peer IP-adres in. Vul het BGP ASN van Azure VNet in. Schakel eBGP Multihop in.
Selecteer de VTI interface als bron van BGP-pakketten die tussen peers worden verzonden.
4. Voeg de routervermeldingen toe die u wilt adverteren naar de Azure BGP peer

Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.