Важное замечание: |
Многосайтовое подключение Azure
Для Nebula:
IPSec Site-to-Site-VPN от Nebula Security Gateway (NSG) до Azure
Этот тип подключения является разновидностью подключения Site-to-Site. Вы создаете несколько VPN-подключений из своего шлюза виртуальной сети, обычно подключаясь к нескольким локальным сайтам.
При работе с несколькими подключениями необходимо использовать тип VPN на основе маршрутов (известный как динамический шлюз при работе с классическими виртуальными сетями). Поскольку каждая виртуальная сеть может иметь только один VPN-шлюз, все подключения через шлюз используют доступную полосу пропускания. Это часто называют "многосайтовым" соединением.
4. Получите IP-адрес однорангового узла Azure BGP.
5. Создайте локальный сетевой шлюз
7. Включите BGP для VPN-подключения Azure.
9. Создайте правило VPN-подключения (этап 2)
11. Создайте статические маршруты для узла BGP
Прежде чем вы начнете
Прежде чем приступить к настройке, убедитесь, что у вас есть следующее:
- -У вас есть виртуальная сеть Azure, созданная с использованием модели развертывания Resource Manager.
- — Шлюз виртуальной сети для вашей виртуальной сети основан на маршруте. Если у вас есть VPN-шлюз на основе политик, вы должны удалить виртуальный сетевой шлюз и создать новый VPN-шлюз как RouteBased.
- - Ни один из диапазонов адресов каждого сайта локальной сети не перекрывается ни для одной из виртуальных сетей, к которым подключается эта виртуальная сеть.
- - Внешний общедоступный IP-адрес IPv4 для каждого устройства ZyWALL. IP-адрес не может находиться за NAT. Это требование.
1. Создайте виртуальную сеть (VNet)
1. В браузере перейдите к Портал Azure и войдите в свою учетную запись Azure.
2. Нажмите Создайте ресурс . в Искать на рынке введите «виртуальная сеть». Найдите Виртуальная сеть из возвращенного списка и нажмите, чтобы открыть Виртуальная сеть страница.
3. Внизу страницы виртуальной сети, в Выберите модель развертывания список, выберите Диспетчер ресурсов, а затем щелкните Создать . Откроется страница «Создать виртуальную сеть».
2. Создайте подсеть шлюза
Шлюз виртуальной сети использует определенную подсеть, называемую подсетью шлюза. Это часть пространства IP-адресов виртуальной сети, которое вы указываете при создании виртуальной сети. Он содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети.
1. На портале перейдите к виртуальной сети, для которой вы хотите создать виртуальный сетевой шлюз.
2. В Настройки на странице виртуальной сети щелкните Подсети чтобы развернуть страницу Подсети.
3. На Подсети страница, нажмите +Подсеть шлюза вверху, чтобы открыть Добавить подсеть страница.
4. Имя для вашей подсети автоматически заполняется значением «GatewaySubnet». Значение GatewaySubnet необходимо, чтобы Azure распознала подсеть как подсеть шлюза. Настройте автоматически заполняемый диапазон адресов значения, соответствующие вашим требованиям к конфигурации.
5. Чтобы создать подсеть, нажмите ХОРОШО внизу страницы.
3. Создайте VPN-шлюз
1. В левой части страницы портала нажмите + и введите «Виртуальная сеть Gateway» в поиске. В Результаты , найдите и щелкните шлюз виртуальной сети .
2. В нижней части страницы «Шлюз виртуальной сети» нажмите Создать . Это открывает Создать виртуальный сетевой шлюз страница.
3. На Создать виртуальный сетевой шлюз на странице укажите значения для вашего шлюза виртуальной сети.
· Имя : Vnet1GW
· Тип шлюза : VPN
· Тип VPN : выберите на основе маршрута Тип VPN
· Артикул : VpnGw1
BGP поддерживается в Azure. ВпнГв1, ВпнГв2, ВпнГв3 , Стандарт а также Высокая производительность Артикул.
Базовый SKU НЕ поддерживается. Здесь нужно выбрать как минимум VpnGw1.
· Виртуальная сеть : нажмите Виртуальная сеть/Выберите виртуальную сеть открыть Выберите виртуальную сеть страница. Выбирать виртуальная сеть1 .
· Общедоступный IP-адрес : этот параметр указывает объект общедоступного IP-адреса, который связывается с VPN-шлюзом.
-Оставлять Создать новый выбрано.
- В текстовом поле введите Имя для вашего общедоступного IP-адреса. Для этого упражнения используйте Внет1GWIP .
· Проверить Настройка ASN BGP вариант и введите номер ASN. Azure резервирует следующие ASN как для внутреннего, так и для внешнего пиринга:
· Общедоступные ASN: 8074, 8075, 12076
· Частные ASN: 65515, 65517, 65518, 65519, 65520
· Расположение : выберите расположение, аналогичное вашей виртуальной сети.
4. Нажмите Создавать чтобы начать создание VPN-шлюза.
После создания шлюза в левой части страницы портала нажмите Все ресурсы и щелкните шлюз виртуальной сети, чтобы просмотреть дополнительную информацию. Публичный IP-адрес будет отображаться справа.
4. Получите IP-адрес однорангового узла Azure BGP.
Вам необходимо получить IP-адрес BGP Peer этой VPN Gateway. Этот адрес необходим для настройки вашего ZyWALL в качестве соседа BGP.
Откройте страницу конфигурации Azure VPN Gateway, чтобы получить ее.
5. Создайте локальный сетевой шлюз
Шлюз локальной сети обычно относится к вашему локальному расположению. Вы даете сайту имя, по которому Azure может обращаться к нему, затем указываете IP-адрес локального устройства ZyWALL, к которому вы будете создавать подключение.
1. На портале нажмите +Создать ресурс .
2. В поле поиска введите Шлюз локальной сети , затем нажмите Войти искать. Это вернет список результатов. Нажмите Шлюз локальной сети , затем щелкните значок Создавать кнопка, чтобы открыть Создать локальный сетевой шлюз страница.
3. На Страница создания шлюза локальной сети , укажите значения для вашего шлюза локальной сети.
Наиболее важной частью является список адресного пространства. Здесь IP-адрес однорангового узла BGP вашего ZyWALL, обычно это IP-адрес туннельного интерфейса VTI. В данном примере это 10.1.254.1/32.
Проверять Настройте параметры BGP и введите ASN BGP вашего ZyWALL.
IP-адрес однорангового узла BGP: введите IP-адрес вашего интерфейса VTI в ZyWALL. В этом примере это 10.1.254.1.
6. Создайте VPN-подключение
1. Перейдите и откройте страницу своего шлюза виртуальной сети.
2. На странице VNet1GW щелкните Соединения . В верхней части страницы Подключения щелкните +Добавить открыть Добавить соединение страница.
3. На Добавить подключение на странице настройте значения для вашего соединения. Выбирать Сеть-сеть (IPSec) как тип соединения.
Введите Общий ключ (PSK) для которого вам нужно настроить то же значение, что и для Pre-Shared Key на странице настроек VPN-шлюза вашего ZyWALL.
Примечание. Общий ключ должен содержать от 8 до 32 символов.
7. Включить BGP в VPN-подключении Azure
1. Перейдите и откройте страницу созданного VPN-подключения Azure.
2. Нажмите Конфигурация чтобы открыть страницу конфигурации
3. Включите BGP и нажмите «Сохранить».
После завершения настройки VPN на портале Azure. Затем вы можете настроить соответствующие параметры VPN на ZyWALL.
----------------------
Вот шаги настройки вашего ZyWALL
8. Создайте правило VPN Gateway (этап 1)
В веб-интерфейсе ZyWALL выберите КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN.
Gateway, нажмите «Добавить», чтобы создать правило VPN Gateway.
На Добавить VPN Gateway на странице укажите значения для вашего шлюза виртуальной сети.
· Включить : установите флажок Включить, чтобы активировать это правило.
· Name : «Azure» в качестве имени правила в этом примере.
· Версия IKE : IKEv2
· Peer Gateway Address : выберите статический адрес и введите общедоступный IP-адрес шлюза виртуальной сети Azure в поле «Основной».
· Предварительный общий ключ : введите общий ключ (PSK) VPN-подключения Azure.
· Время жизни SA : 28800 секунд
· Алгоритм шифрования : оставьте значение по умолчанию, AES128.
· Алгоритм аутентификации: оставьте значение по умолчанию, SHA1
· Ключевая группа: оставьте значение по умолчанию, DH2
9. Создайте правило VPN-подключения (этап 2)
В веб-интерфейсе ZyWALL выберите КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN.
Connection, щелкните Add, чтобы создать правило VPN Connection.
На Добавить VPN-подключение на странице укажите значения для вашего шлюза виртуальной сети.
· Включить : установите флажок Включить, чтобы активировать это правило.
· Name : «Azure» в качестве имени правила в этом примере.
· TCP MSS : 1379 байт
· Сценарий приложения : выберите туннельный интерфейс VPN для VPN на основе маршрута.
· VPN Gateway : выберите «Azure».
· Время жизни SA : 3600 секунд
· Алгоритм шифрования : выберите AES256
· Алгоритм аутентификации: оставьте значение по умолчанию, SHA1
· ПФС: выберите никто
Примечание. Алгоритм шифрования фазы 2 следует выбирать как AES256 только для полной совместимости с VPN-шлюзом Azure.
10. Создайте интерфейс VTI
В веб-интерфейсе ZyWALL перейдите в раздел КОНФИГУРАЦИЯ > Сеть > Интерфейс > VTI, нажмите Добавить, чтобы создать интерфейс VTI.
· Имя интерфейса : vti0
· Зона : IPSec_VPN
· vpn-правило : Azure
· IP-адрес : 10.1.245.1
· Маска подсети : 255.255.255.252
11. Создайте статические маршруты для узла BGP
В веб-интерфейсе ZyWALL выберите КОНФИГУРАЦИЯ > Сеть > Маршрутизация > Статический маршрут.
Добавьте маршрут к подсети Gateway Azure, в этом примере — 10.0.0.0/29.
Это маршрут для TCP-подключения BGP к IP-адресу однорангового узла Azure BGP.
12. Настройте BGP
В веб-интерфейсе ZyWALL выберите КОНФИГУРАЦИЯ > Сеть > Маршрутизация > BGP.
1. Введите ASN BGP этого сайта.
2. Введите идентификатор маршрутизатора этого ZyWALL. Обычно это будет IP-адрес LAN-интерфейса вашего ZyWALL.
3. Добавьте одноранговый узел Azure BGP в качестве соседа. Введите IP-адрес однорангового узла Azure BGP. Введите ASN BGP виртуальной сети Azure. Включите eBGP Multihop.
Выберите интерфейс VTI в качестве источника пакета BGP, отправляемого между одноранговыми узлами.
4. Добавьте записи маршрутизатора, которые необходимо рекламировать на одноранговой платформе Azure BGP.
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.