VPN - Konfiguracja routowanej sieci IPsec VPN do Azure (BGP przez IKEv2/IPSec)

Ten artykuł pokazuje, jak skonfigurować połączenie wielostanowiskowe Azure (bramy sieci wirtualnej VNet/Virtual Network) za pomocą site-to-site IPsec VPN, korzystając z routowanego VPN i BGP przez IKEv2 (seria USG FLEX / ATP / VPN).

Wprowadzenie

Ten typ połączenia jest wariantem połączenia Site-to-Site. Tworzysz więcej niż jedno połączenie VPN z bramą sieci wirtualnej, zazwyczaj łącząc się z wieloma lokalizacjami lokalnymi.
Pracując z wieloma połączeniami, musisz użyć typu VPN opartego na trasowaniu (Route-based VPN) (znanego jako dynamiczna brama przy pracy z klasycznymi sieciami VNet). Ponieważ każda sieć wirtualna może mieć tylko jedną bramę VPN, wszystkie połączenia przez tę bramę dzielą dostępny przepustowość. Często nazywa się to połączeniem „wielostanowiskowym”.

Przed rozpoczęciem

Przed rozpoczęciem konfiguracji upewnij się, że posiadasz następujące elementy:

  1. -Masz wirtualną sieć Azure utworzoną za pomocą modelu wdrażania Resource Manager
  2. -Bramę sieci wirtualnej dla Twojej VNet jest typu RouteBased. Jeśli posiadasz bramę VPN opartą na polityce (policy-based), musisz usunąć istniejącą bramę i utworzyć nową bramę VPN typu RouteBased.
  3. -Zakresy adresów każdej lokalnej sieci nie nakładają się na żadne z VNets, do których ta VNet się łączy.
  4. -Zewnętrzny publiczny adres IPv4 dla każdego urządzenia ZyWALL. Adres IP nie może znajdować się za NAT. Jest to wymóg.

4xfl3chatw7o.png

 

1. Utwórz sieć wirtualną (VNet)

1.       W przeglądarce przejdź do portalu Azure i zaloguj się na swoje konto Azure.

2.       Kliknij Utwórz zasób. W polu Wyszukaj w marketplace wpisz 'virtual network'. Znajdź Virtual network na liście wyników i kliknij, aby otworzyć stronę Virtual Network.

3.       Na dole strony Virtual Network, z listy Wybierz model wdrożenia wybierz Resource Manager, a następnie kliknij Utwórz. Otworzy się strona „Utwórz sieć wirtualną”.

ekpusf18udsr.png

2. Utwórz podsieć bramy (gateway subnet)

Bramę sieci wirtualnej wykorzystuje się do określonej podsieci zwanej podsiecią bramy. Jest ona częścią przestrzeni adresowej sieci wirtualnej, którą określasz podczas tworzenia sieci wirtualnej. Zawiera adresy IP, z których korzystają zasoby i usługi bramy sieci wirtualnej.

1.       W portalu przejdź do sieci wirtualnej, dla której chcesz utworzyć bramę sieci wirtualnej.

2.       W sekcji Ustawienia na stronie VNet kliknij Podsieci, aby rozwinąć stronę Podsiecí.

3.       Na stronie Podsieci kliknij +Podsieć bramy u góry, aby otworzyć stronę Dodaj podsieć.

v7xc8ijlgk3w.png

 

4. Nazwa Twojej podsieci jest automatycznie wypełniona wartością 'GatewaySubnet'. Wartość GatewaySubnet jest wymagana, aby Azure rozpoznał tę podsieć jako podsieć bramy. Dostosuj automatycznie wypełnione wartości Zakres adresów, aby odpowiadały Twoim wymaganiom konfiguracyjnym.

18ykjeocboi9.png

5. Aby utworzyć podsieć, kliknij OK na dole strony.

3. Utwórz bramę VPN

1. Po lewej stronie strony portalu kliknij + i wpisz 'Virtual Network Gateway' w wyszukiwarce. W Wynikach znajdź i kliknij Virtual network gateway.

2. Na dole strony 'Virtual network gateway' kliknij Utwórz. Otworzy się strona Utwórz bramę sieci wirtualnej.

3. Na stronie Utwórz bramę sieci wirtualnej określ wartości dla swojej bramy sieci wirtualnej.

w4ucdcjggbmx.png

· Nazwa: Vnet1GW

· Typ bramy: VPN

· Typ VPN: wybierz typ VPN Route-based

· SKU: VpnGw1

BGP jest obsługiwany na Azure VpnGw1, VpnGw2, VpnGw3, Standard i HighPerformance SKU.
SKU Basic NIE jest obsługiwany. Tutaj musisz wybrać co najmniej VpnGw1.

· Sieć wirtualna: Kliknij Virtual network/Wybierz sieć wirtualną, aby otworzyć stronę Wybierz sieć wirtualną. Wybierz VNet1.

· Publiczny adres IP: To ustawienie określa obiekt publicznego adresu IP, który zostanie powiązany z bramą VPN.

-Pozostaw wybraną opcję Utwórz nowy.

-W polu tekstowym wpisz Nazwę dla swojego publicznego adresu IP. W tym ćwiczeniu użyj VNet1GWIP.

· Zaznacz opcję Konfiguruj BGP ASN i wpisz numer ASN. Azure rezerwuje następujące ASN dla połączeń wewnętrznych i zewnętrznych:

        · Publiczne ASN: 8074, 8075, 12076

        · Prywatne ASN: 65515, 65517, 65518, 65519, 65520

· Lokalizacja: wybierz lokalizację taką samą jak Twoja VNet

4. Kliknij Utwórz, aby rozpocząć tworzenie bramy VPN.

Po utworzeniu bramy, po lewej stronie portalu kliknij Wszystkie zasoby i wejdź do bramy sieci wirtualnej, aby zobaczyć więcej informacji. Publiczny adres IP pojawi się po prawej stronie.

4. Pobierz adres IP BGP Peer Azure

Musisz pobrać adres IP BGP Peer tej bramy VPN. Ten adres jest potrzebny do skonfigurowania na ZyWALL jako sąsiada BGP.

Otwórz stronę konfiguracji swojej bramy VPN Azure, aby go uzyskać.

34atj65u3n5c.png

5. Utwórz lokalną bramę sieciową

Lokalna brama sieciowa zazwyczaj odnosi się do Twojej lokalizacji lokalnej. Nadajesz nazwę lokalizacji, pod którą Azure może ją rozpoznać, a następnie określasz adres IP lokalnego urządzenia ZyWALL, do którego utworzysz połączenie.

1.       W portalu kliknij +Utwórz zasób.

2.       W polu wyszukiwania wpisz Lokalna brama sieciowa, a następnie naciśnij Enter, aby wyszukać. Pojawi się lista wyników. Kliknij Lokalna brama sieciowa, a następnie kliknij przycisk Utwórz, aby otworzyć stronę Utwórz lokalną bramę sieciową.

3.       Na stronie Utwórz lokalną bramę sieciową określ wartości dla swojej lokalnej bramy sieciowej.

Najważniejszą częścią jest lista przestrzeni adresowej. Tutaj wpisz adres IP BGP peer Twojego ZyWALL, zazwyczaj adres IP interfejsu tunelu VTI. W tym przykładzie jest to 10.1.254.1/32

Zaznacz Konfiguruj ustawienia BGP i wpisz BGP ASN swojego ZyWALL.

Adres IP BGP peer: Wpisz adres IP swojego interfejsu VTI na ZyWALL. W tym przykładzie to 10.1.254.1

9rrd3x2slk8z.png

6. Utwórz połączenie VPN

1.       Przejdź do i otwórz stronę swojej bramy sieci wirtualnej.

2.       Na stronie VNet1GW kliknij Połączenia. U góry strony Połączenia kliknij +Dodaj, aby otworzyć stronę Dodaj połączenie.

7uahk0fe9ssw.png

3.      Na stronie Dodaj połączenie skonfiguruj wartości dla swojego połączenia. Wybierz Site-to-site (IPSec) jako typ połączenia.

Wpisz Współdzielony klucz (PSK), który musi być zgodny z wartością Klucza wstępnie współdzielonego na stronie ustawień bramy VPN Twojego ZyWALL.

Uwaga: Klucz wstępnie współdzielony musi mieć od 8 do 32 znaków.

wcbrlvft8sb6.png

7. Włącz BGP na połączeniu VPN Azure

1.       Przejdź do i otwórz stronę utworzonego połączenia VPN Azure.

2.       Kliknij Konfiguracja, aby otworzyć stronę konfiguracji

3.       Włącz BGP, a następnie kliknij Zapisz

dkuhb32e00dr.png

Po zakończeniu konfiguracji VPN na portalu Azure możesz skonfigurować powiązane ustawienia VPN na swoim ZyWALL.

8. Utwórz regułę bramy VPN (Faza 1)

W interfejsie ZyWALL Web GUI przejdź do KONFIGURACJA > VPN > IPSec VPN > VPN

Bramy, kliknij Dodaj, aby utworzyć regułę bramy VPN.

Na stronie Dodaj bramę VPN określ wartości dla swojej bramy sieci wirtualnej.

meodw6099556.png

·         Włącz: zaznacz pole Włącz, aby aktywować tę regułę

·         Nazwa: „Azure” jako nazwa reguły w tym przykładzie

·         Wersja IKE: IKEv2

·         Adres bramy partnera: wybierz adres statyczny i wpisz publiczny adres IP bramy sieci wirtualnej Azure w polu Podstawowym

·         Pre-Shared Key: wpisz Współdzielony klucz (PSK) połączenia VPN Azure

·         Czas życia SA: 28800 sekund

·         Algorytm szyfrowania: pozostaw domyślną wartość, AES128

·         Algorytm uwierzytelniania: pozostaw domyślną wartość, SHA1

·         Grupa kluczy: pozostaw domyślną wartość, DH2

9. Utwórz regułę połączenia VPN (Faza 2)

W interfejsie ZyWALL Web GUI przejdź do KONFIGURACJA > VPN > IPSec VPN > VPN

Połączenia, kliknij Dodaj, aby utworzyć regułę połączenia VPN.

Na stronie Dodaj połączenie VPN określ wartości dla swojej bramy sieci wirtualnej.

na4xvbix64cn.png

·         Włącz: zaznacz pole Włącz, aby aktywować tę regułę

·         Nazwa: „Azure” jako nazwa reguły w tym przykładzie

·         TCP MSS: 1379 bajtów

·         Scenariusz aplikacji: wybierz VPN Tunnel Interface dla routowanego VPN

·         Bramę VPN: wybierz „Azure”.

·         Czas życia SA: 3600 sekund

·         Algorytm szyfrowania: wybierz AES256

·         Algorytm uwierzytelniania: pozostaw domyślną wartość, SHA1

·         PFS: wybierz brak

Uwaga: Algorytm szyfrowania fazy 2 powinien być wybrany jako AES256, aby zapewnić pełną kompatybilność z bramą VPN Azure.

10. Utwórz interfejs VTI

W interfejsie ZyWALL Web GUI przejdź do KONFIGURACJA > Sieć > Interfejs > VTI, kliknij Dodaj, aby utworzyć interfejs VTI

d68jwzldb683.png

·         Nazwa interfejsu: vti0

·         Strefa: IPSec_VPN

·         vpn-rule: Azure

·         Adres IP: 10.1.245.1

·         Maska podsieci: 255.255.255.252

11. Utwórz statyczne trasy dla sąsiada BGP

W interfejsie ZyWALL Web GUI przejdź do KONFIGURACJA > Sieć > Trasowanie > Trasa statyczna.

Dodaj trasę do podsieci bramy Azure, w tym przykładzie jest to 10.0.0.0/29

To jest trasa dla połączenia TCP BGP do adresu IP sąsiada BGP Azure.

pr2fdpor8vdo.png

12. Skonfiguruj BGP

W interfejsie ZyWALL Web GUI przejdź do KONFIGURACJA > Sieć > Trasowanie > BGP

1. Wpisz ASN BGP tej lokalizacji

2. Wpisz Router ID tego ZyWALL. Zazwyczaj będzie to adres IP interfejsu LAN Twojego ZyWALL.

fj8ablursxea.png

3. Dodaj sąsiada BGP Azure jako sąsiada. Wpisz adres IP sąsiada BGP Azure. Wpisz ASN BGP Azure VNet. Włącz eBGP Multihop.

Wybierz interfejs VTI jako źródło pakietów BGP wysyłanych między sąsiadami

hdqb7kd1ioi9.png

4. Dodaj wpisy routera, które chcesz reklamować do sąsiada BGP Azure

2e5a5iv1vcs0.png

Artykuły w tej sekcji

Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.