Acest articol arată cum să configurați o conexiune multi-site Azure (gateway-uri VNet/Rețea Virtuală) prin VPN IPsec site-to-site folosind VPN bazat pe rută și BGP peste IKEv2 (seria USG FLEX / ATP / VPN).
Introducere
Acest tip de conexiune este o variație a conexiunii Site-to-Site. Creați mai multe conexiuni VPN din gateway-ul rețelei virtuale, conectând de obicei la mai multe locații on-premises.
Atunci când lucrați cu conexiuni multiple, trebuie să utilizați un tip VPN bazat pe rută (cunoscut ca gateway dinamic când lucrați cu VNets clasice). Deoarece fiecare rețea virtuală poate avea doar un singur gateway VPN, toate conexiunile prin gateway împart lățimea de bandă disponibilă. Acest lucru este adesea numit conexiune "multi-site".
Înainte de a începe
Înainte de a începe configurarea, verificați că aveți următoarele:
- - Aveți o rețea virtuală Azure creată folosind modelul de implementare Resource Manager
- - Gateway-ul rețelei virtuale pentru VNet-ul dvs. este de tip RouteBased. Dacă aveți un gateway VPN bazat pe politică, trebuie să ștergeți gateway-ul rețelei virtuale și să creați un nou gateway VPN de tip RouteBased.
- - Niciuna dintre gamele de adrese ale fiecărui site local nu se suprapune pentru oricare dintre VNets la care această rețea virtuală se conectează.
- - O adresă IPv4 publică externă pentru fiecare dispozitiv ZyWALL. Adresa IP nu poate fi localizată în spatele unui NAT. Aceasta este o cerință.
1. Crearea unei rețele virtuale (VNet)
1. Dintr-un browser, accesați portalul Azure și conectați-vă cu contul dvs. Azure.
2. Faceți clic pe Create a resource. În câmpul Search the marketplace, tastați 'virtual network'. Găsiți Virtual network în lista returnată și faceți clic pentru a deschide pagina Virtual Network.
3. Aproape de partea de jos a paginii Virtual Network, din lista Select a deployment model, selectați Resource Manager apoi faceți clic pe Create. Aceasta deschide pagina 'Create virtual network'.
2. Crearea subnet-ului gateway
Gateway-ul rețelei virtuale folosește un subnet specific numit gateway subnet. Acesta face parte din spațiul de adrese IP al rețelei virtuale pe care îl specificați când creați rețeaua virtuală. Conține adrese IP pe care le folosesc resursele și serviciile gateway-ului rețelei virtuale.
1. În portal, navigați la rețeaua virtuală pentru care doriți să creați un gateway de rețea virtuală.
2. În secțiunea Settings a paginii VNet, faceți clic pe Subnets pentru a extinde pagina Subnets.
3. Pe pagina Subnets, faceți clic pe +Gateway subnet în partea de sus pentru a deschide pagina Add subnet.
4. Numele subnet-ului este completat automat cu valoarea 'GatewaySubnet'. Valoarea GatewaySubnet este necesară pentru ca Azure să recunoască subnet-ul ca subnet de gateway. Ajustați valorile Address range completate automat pentru a corespunde cerințelor dvs. de configurare.
5. Pentru a crea subnet-ul, faceți clic pe OK în partea de jos a paginii.
3. Crearea gateway-ului VPN
1. În partea stângă a paginii portalului, faceți clic pe + și tastați 'Virtual Network Gateway' în căutare. În Results, localizați și faceți clic pe Virtual network gateway.
2. În partea de jos a paginii 'Virtual network gateway', faceți clic pe Create. Aceasta deschide pagina Create virtual network gateway.
3. Pe pagina Create virtual network gateway, specificați valorile pentru gateway-ul rețelei virtuale.
· Name: Vnet1GW
· Gateway type: VPN
· VPN type: selectați tipul VPN Route-based
· SKU: VpnGw1
BGP este suportat pe SKU-urile Azure VpnGw1, VpnGw2, VpnGw3, Standard și HighPerformance.
SKU Basic NU este suportat. Aici trebuie să selectați cel puțin VpnGw1.
· Virtual network: Faceți clic pe Virtual network/Choose a virtual network pentru a deschide pagina Choose a virtual network. Selectați VNet1.
· Public IP address: Această setare specifică obiectul adresei IP publice care va fi asociat cu gateway-ul VPN.
- Lăsați selectat Create new.
- În caseta de text, tastați un Name pentru adresa dvs. IP publică. Pentru acest exercițiu, folosiți VNet1GWIP.
· Bifați opțiunea Configure BGP ASN și introduceți numărul ASN. Azure rezervă următoarele ASN-uri pentru peer-urile interne și externe:
· ASN-uri publice: 8074, 8075, 12076
· ASN-uri private: 65515, 65517, 65518, 65519, 65520
· Location: selectați locația aceeași ca și VNet-ul dvs.
4. Faceți clic pe Create pentru a începe crearea gateway-ului VPN.
După ce gateway-ul este creat, în partea stângă a paginii portalului, faceți clic pe All resources și intrați în gateway-ul rețelei virtuale pentru a vedea mai multe informații. Adresa IP publică va apărea în partea dreaptă.
4. Obțineți adresa IP BGP Peer Azure
Trebuie să obțineți adresa IP BGP Peer a acestui VPN Gateway. Această adresă este necesară pentru a o configura pe ZyWALL ca vecin BGP.
Deschideți pagina de Configurare a gateway-ului VPN Azure pentru a o obține.
5. Crearea gateway-ului rețelei locale
Gateway-ul rețelei locale se referă de obicei la locația dvs. on-premises. Atribuiți site-ului un nume prin care Azure îl poate referi, apoi specificați adresa IP a dispozitivului ZyWALL on-premises la care veți crea o conexiune.
1. În portal, faceți clic pe +Create a resource.
2. În caseta de căutare, tastați Local network gateway, apoi apăsați Enter pentru a căuta. Aceasta va returna o listă de rezultate. Faceți clic pe Local network gateway, apoi pe butonul Create pentru a deschide pagina Create local network gateway.
3. Pe pagina Create local network gateway, specificați valorile pentru gateway-ul rețelei locale.
Partea cea mai importantă este lista spațiilor de adrese. Aici introduceți adresa IP BGP peer a ZyWALL-ului dvs., de obicei adresa IP a interfeței tunel VTI. În acest exemplu, este 10.1.254.1/32
Bifați Configure BGP settings și introduceți BGP ASN al ZyWALL-ului dvs.
Adresa IP BGP peer: introduceți adresa IP a interfeței VTI pe ZyWALL. În acest exemplu este 10.1.254.1
6. Crearea conexiunii VPN
1. Navigați și deschideți pagina gateway-ului rețelei virtuale.
2. Pe pagina VNet1GW, faceți clic pe Connections. În partea de sus a paginii Connections, faceți clic pe +Add pentru a deschide pagina Add connection.
3. Pe pagina Add connection, configurați valorile pentru conexiunea dvs. Selectați Site-to-site (IPSec) ca tip de conexiune.
Introduceți Shared key (PSK) pe care trebuie să o configurați cu aceeași valoare ca Pre-Shared Key în pagina de setări VPN a ZyWALL-ului dvs.
Notă: cheia pre-partajată trebuie să aibă între 8 și 32 de caractere.
7. Activarea BGP pe conexiunea VPN Azure
1. Navigați și deschideți pagina conexiunii VPN Azure create.
2. Faceți clic pe Configuration pentru a deschide pagina de configurare
3. Activați BGP și apoi faceți clic pe Salvare
După ce ați terminat configurarea VPN în portalul Azure, puteți configura setările VPN aferente pe ZyWALL-ul dvs.
8. Crearea regulii Gateway VPN (Faza 1)
În interfața Web ZyWALL, accesați CONFIGURATION > VPN > IPSec VPN > VPN Gateway, faceți clic pe Add pentru a crea o regulă Gateway VPN.
Pe pagina Add VPN Gateway, specificați valorile pentru gateway-ul rețelei virtuale.
· Enable: bifați caseta Enable pentru a activa această regulă
· Name: „Azure” ca nume al regulii în acest exemplu
· IKE Version: IKEv2
· Peer Gateway Address: selectați adresă statică și completați adresa IP publică a gateway-ului rețelei virtuale Azure în câmpul Primary
· Pre-Shared Key: completați Shared Key (PSK) a conexiunii VPN Azure
· SA Life Time: 28800 secunde
· Encryption algorithm: păstrați valoarea implicită, AES128
· Authentication algorithm: păstrați valoarea implicită, SHA1
· Key Group: păstrați valoarea implicită, DH2
9. Crearea regulii Conexiune VPN (Faza 2)
În interfața Web ZyWALL, accesați CONFIGURATION > VPN > IPSec VPN > VPN Connection, faceți clic pe Add pentru a crea o regulă Conexiune VPN.
Pe pagina Add VPN Connection, specificați valorile pentru gateway-ul rețelei virtuale.
· Enable: bifați caseta Enable pentru a activa această regulă
· Name: „Azure” ca nume al regulii în acest exemplu
· TCP MSS: 1379 Bytes
· Application Scenario: selectați VPN Tunnel Interface pentru VPN bazat pe rută
· VPN Gateway: selectați „Azure.”
· SA Life Time: 3600 secunde
· Encryption algorithm: selectați AES256
· Authentication algorithm: păstrați valoarea implicită, SHA1
· PFS: selectați none
Notă: Algoritmul de criptare pentru Faza 2 trebuie selectat ca AES256 pentru a fi complet compatibil cu gateway-ul VPN Azure.
10. Crearea unei interfețe VTI
În interfața Web ZyWALL, accesați CONFIGURATION > Network > Interface > VTI, faceți clic pe Add pentru a crea o interfață VTI
· Nume interfață: vti0
· Zone: IPSec_VPN
· vpn-rule: Azure
· Adresă IP: 10.1.245.1
· Masca de subrețea: 255.255.255.252
11. Crearea rutelor statice pentru peer-ul BGP
În interfața Web ZyWALL, accesați CONFIGURATION > Network > Routing > Static Route.
Adăugați o rută către Gateway Subnet al Azure, în acest exemplu 10.0.0.0/29
Aceasta este ruta pentru conexiunea TCP a BGP către adresa IP a peer-ului BGP Azure.
12. Configurarea BGP
În interfața Web ZyWALL, accesați CONFIGURATION > Network > Routing > BGP
1. Introduceți ASN-ul BGP al acestui site
2. Introduceți Router ID-ul acestui ZyWALL. De obicei, acesta va fi adresa IP a interfeței LAN a ZyWALL-ului dvs.
3. Adăugați peer-ul BGP Azure ca vecin. Introduceți adresa IP a peer-ului BGP Azure. Introduceți ASN-ul BGP al Azure VNet. Activați eBGP Multihop.
Selectați interfața VTI ca sursă a pachetelor BGP trimise între peer-uri.
4. Adăugați intrările de rutare pe care doriți să le anunțați peer-ului BGP Azure.

Comentarii
0 comentariiVă rugăm să vă autentificați pentru a lăsa un comentariu.