Denne artikkelen viser hvordan du konfigurerer en Azure multi-site-tilkobling (VNet/Virtual Network-gatewayer) via site-to-site IPsec VPN ved bruk av rute-basert VPN og BGP over IKEv2 (USG FLEX / ATP / VPN-serien).
Introduksjon
Denne typen tilkobling er en variant av Site-to-Site-tilkoblingen. Du oppretter mer enn én VPN-tilkobling fra din virtuelle nettverksgateway, vanligvis for å koble til flere lokale steder.
Når du arbeider med flere tilkoblinger, må du bruke en rute-basert VPN-type (kjent som en dynamisk gateway når du arbeider med klassiske VNet). Fordi hvert virtuelt nettverk bare kan ha én VPN-gateway, deler alle tilkoblinger gjennom gatewayen den tilgjengelige båndbredden. Dette kalles ofte en "multi-site"-tilkobling.
Før du begynner
Før du begynner konfigurasjonen, kontroller at du har følgende:
- -Du har et Azure virtuelt nettverk som ble opprettet ved bruk av Resource Manager-distribusjonsmodellen
- -Den virtuelle nettverksgatewayen for ditt VNet er RouteBased. Hvis du har en policy-basert VPN-gateway, må du slette den virtuelle nettverksgatewayen og opprette en ny VPN-gateway som RouteBased.
- -Ingen av adresseområdene til hvert lokalt nettverkssted overlapper for noen av VNet-ene som dette VNet kobler til.
- -En offentlig IPv4-adresse som vender utad for hver ZyWALL-enhet. IP-adressen kan ikke være bak en NAT. Dette er et krav.
1. Opprett et virtuelt nettverk (VNet)
1. Fra en nettleser, gå til Azure-portalen og logg inn med din Azure-konto.
2. Klikk Opprett en ressurs. I feltet Søk i markedsplassen, skriv 'virtual network'. Finn Virtual network i listen som vises, og klikk for å åpne Virtual Network-siden.
3. Nederst på siden for Virtual Network, fra listen Velg distribusjonsmodell, velg Resource Manager og klikk deretter Opprett. Dette åpner siden 'Opprett virtuelt nettverk'.
2. Opprett gateway-subnettet
Den virtuelle nettverksgatewayen bruker et spesifikt subnett kalt gateway-subnet. Det er en del av det virtuelle nettverkets IP-adresseområde som du angir når du oppretter ditt virtuelle nettverk. Det inneholder IP-adresser som ressursene og tjenestene til den virtuelle nettverksgatewayen bruker.
1. I portalen, naviger til det virtuelle nettverket der du vil opprette en virtuell nettverksgateway.
2. I Innstillinger-delen på VNet-siden, klikk Subnets for å utvide Subnets-siden.
3. På Subnets-siden, klikk +Gateway subnet øverst for å åpne Legg til subnet-siden.
4. Navnet på subnettet ditt fylles automatisk inn med verdien 'GatewaySubnet'. Verdien GatewaySubnet er nødvendig for at Azure skal gjenkjenne subnettet som gateway-subnet. Juster de automatisk utfylte Adresseområde-verdiene for å matche dine konfigurasjonskrav.
5. For å opprette subnettet, klikk OK nederst på siden.
3. Opprett VPN-gatewayen
1. På venstre side av portal-siden, klikk + og skriv 'Virtual Network Gateway' i søkefeltet. I Resultater, finn og klikk på Virtual network gateway.
2. Nederst på siden 'Virtual network gateway', klikk Opprett. Dette åpner siden Opprett virtuell nettverksgateway.
3. På siden Opprett virtuell nettverksgateway, spesifiser verdiene for din virtuelle nettverksgateway.
· Navn: Vnet1GW
· Gateway-type: VPN
· VPN-type: velg Rute-basert VPN-type
· SKU: VpnGw1
BGP støttes på Azure VpnGw1, VpnGw2, VpnGw3, Standard og HighPerformance SKU.
Basic SKU støttes IKKE. Her må du minst velge VpnGw1.
· Virtuelt nettverk: Klikk Virtual network/Velg et virtuelt nettverk for å åpne siden Velg et virtuelt nettverk. Velg VNet1.
· Offentlig IP-adresse: Denne innstillingen spesifiserer det offentlige IP-adresseobjektet som blir knyttet til VPN-gatewayen.
-La Opprett ny være valgt.
-Skriv inn et Navn for din offentlige IP-adresse i tekstfeltet. For denne øvelsen, bruk VNet1GWIP.
· Kryss av for Konfigurer BGP ASN og skriv inn ASN-nummeret. Azure reserverer følgende ASNumre for både intern og ekstern peering:
· Offentlige ASNumre: 8074, 8075, 12076
· Private ASNumre: 65515, 65517, 65518, 65519, 65520
· Lokasjon: velg samme lokasjon som ditt VNet
4. Klikk Opprett for å starte opprettelsen av VPN-gatewayen.
Etter at gatewayen er opprettet, klikk Alle ressurser på venstre side av portal-siden og klikk inn på den virtuelle nettverksgatewayen for å se mer informasjon. Den offentlige IP-adressen vises på høyre side.
4. Skaff Azure BGP Peer IP-adresse
Du må skaffe BGP Peer IP-adressen til denne VPN-gatewayen. Denne adressen trengs for å konfigurere som BGP-nabo på din ZyWALL.
Åpne konfigurasjonssiden for din Azure VPN-gateway for å finne den.
5. Opprett lokal nettverksgateway
Den lokale nettverksgatewayen refererer vanligvis til ditt lokale sted. Du gir stedet et navn som Azure kan referere til, og angir deretter IP-adressen til den lokale ZyWALL-enheten som du vil opprette en tilkobling til.
1. I portalen, klikk +Opprett en ressurs.
2. I søkeboksen, skriv Local network gateway, og trykk Enter for å søke. Dette gir en liste med resultater. Klikk på Local network gateway, og klikk deretter på Opprett-knappen for å åpne siden Opprett lokal nettverksgateway.
3. På siden Opprett lokal nettverksgateway, spesifiser verdiene for din lokale nettverksgateway.
Den viktigste delen er adresseområde-listen. Her skriver du inn BGP peer IP-adressen til din ZyWALL, vanligvis IP-adressen til VTI tunnelgrensesnittet. I dette eksempelet er det 10.1.254.1/32
Kryss av for Konfigurer BGP-innstillinger og skriv inn BGP ASN for din ZyWALL.
BGP peer IP-adresse: Skriv inn IP-adressen til ditt VTI-grensesnitt på ZyWALL. I dette eksempelet er det 10.1.254.1
6. Opprett VPN-tilkobling
1. Naviger til og åpne siden for din virtuelle nettverksgateway.
2. På siden for VNet1GW, klikk Tilkoblinger. Øverst på Tilkoblinger-siden, klikk +Legg til for å åpne siden Legg til tilkobling.
3. På siden Legg til tilkobling, konfigurer verdiene for din tilkobling. Velg Site-to-site (IPSec) som tilkoblingstype.
Skriv inn Delt nøkkel (PSK) som må være den samme verdien som Pre-Shared Key i VPN-gatewayens innstillingsside på din ZyWALL.
Merk: Pre-shared key må være minst 8 til 32 tegn.
7. Aktiver BGP på Azure VPN-tilkobling
1. Naviger til og åpne siden for den opprettede Azure VPN-tilkoblingen.
2. Klikk Konfigurasjon for å åpne konfigurasjonssiden.
3. Aktiver BGP og klikk deretter Lagre
Etter at VPN-konfigurasjonen er fullført i Azure-portalen, kan du konfigurere de relaterte VPN-innstillingene på din ZyWALL.
8. Opprett VPN Gateway-regel (Fase 1)
I ZyWALL Web GUI, gå til KONFIGURASJON > VPN > IPSec VPN > VPN Gateway, klikk Legg til for å opprette en VPN Gateway-regel.
På siden Legg til VPN Gateway, spesifiser verdiene for din virtuelle nettverksgateway.
· Aktiver: kryss av i Aktiver-boksen for å aktivere denne regelen
· Navn: “Azure” som regelnavn i dette eksempelet
· IKE-versjon: IKEv2
· Peer Gateway-adresse: velg statisk adresse og fyll inn offentlig IP-adresse til Azure virtuell nettverksgateway i Primær-feltet
· Pre-Shared Key: fyll inn delt nøkkel (PSK) for Azure VPN-tilkoblingen
· SA Levetid: 28800 sekunder
· Krypteringsalgoritme: behold standardverdien, AES128
· Autentiseringsalgoritme: behold standardverdien, SHA1
· Nøkkelgruppe: behold standardverdien, DH2
9. Opprett VPN-tilkoblingsregel (Fase 2)
I ZyWALL Web GUI, gå til KONFIGURASJON > VPN > IPSec VPN > VPN Connection, klikk Legg til for å opprette en VPN-tilkoblingsregel.
På siden Legg til VPN Connection, spesifiser verdiene for din virtuelle nettverksgateway.
· Aktiver: kryss av i Aktiver-boksen for å aktivere denne regelen
· Navn: “Azure” som regelnavn i dette eksempelet
· TCP MSS: 1379 Bytes
· Applikasjonsscenario: velg VPN Tunnel Interface for rute-basert VPN
· VPN Gateway: velg “Azure.”
· SA Levetid: 3600 sekunder
· Krypteringsalgoritme: velg AES256
· Autentiseringsalgoritme: behold standardverdien, SHA1
· PFS: velg ingen
Merk: Fase 2 Krypteringsalgoritme bør velges som AES256 for full kompatibilitet med Azure VPN-gateway.
10. Opprett et VTI-grensesnitt
I ZyWALL Web GUI, gå til KONFIGURASJON > Nettverk > Grensesnitt > VTI, klikk Legg til for å opprette et VTI-grensesnitt
· Grensesnittnavn: vti0
· Sone: IPSec_VPN
· vpn-regel: Azure
· IP-adresse: 10.1.245.1
· Subnettmaske: 255.255.255.252
11. Opprett statiske ruter for BGP-peer
I ZyWALL Web GUI, gå til KONFIGURASJON > Nettverk > Rutings > Statisk rute.
Legg til rute til Gateway-subnettet til Azure, i dette eksempelet 10.0.0.0/29
Dette er ruten for TCP-tilkoblingen til BGP til Azure BGP peer IP-adressen.
12. Konfigurer BGP
I ZyWALL Web GUI, gå til KONFIGURASJON > Nettverk > Rutings > BGP
1. Skriv inn BGP ASN for dette stedet
2. Skriv inn Router ID for denne ZyWALL. Vanligvis vil dette være IP-adressen til LAN-grensesnittet på din ZyWALL.
3. Legg til Azure BGP-peer som nabo. Skriv inn Azure BGP peer IP-adresse. Skriv inn BGP ASN for Azure VNet. Aktiver eBGP Multihop.
Velg VTI-grensesnittet som kilde for BGP-pakker sendt mellom naboer.
4. Legg til ruterenheter som skal annonseres til Azure BGP-peer.

Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.