VPN - Настройка маршрутизируемого IPsec VPN к Azure (BGP поверх IKEv2/IPSec)

Еще есть вопросы? Отправить запрос

В этой статье показано, как настроить многосайтовое подключение Azure (шлюзы виртуальной сети/VNet) через site-to-site IPsec VPN с использованием маршрутизируемого VPN и BGP поверх IKEv2 (серии USG FLEX / ATP / VPN).

Введение

Этот тип подключения является вариацией подключения Site-to-Site. Вы создаёте более одного VPN-подключения от вашего шлюза виртуальной сети, обычно подключаясь к нескольким локальным площадкам.
При работе с несколькими подключениями необходимо использовать тип VPN «Route-based» (известный как динамический шлюз при работе с классическими VNet). Поскольку каждая виртуальная сеть может иметь только один VPN-шлюз, все подключения через этот шлюз используют общую доступную пропускную способность. Это часто называют «многосайтовым» подключением.

Перед началом

Перед началом настройки убедитесь, что у вас есть следующее:

  1. - У вас есть виртуальная сеть Azure, созданная с использованием модели развертывания Resource Manager
  2. - Шлюз виртуальной сети для вашей VNet является маршрутизируемым (RouteBased). Если у вас есть шлюз VPN на основе политики, необходимо удалить шлюз виртуальной сети и создать новый шлюз VPN как маршрутизируемый (RouteBased).
  3. - Диапазоны адресов каждой локальной сети не пересекаются для любых VNet, к которым подключается эта VNet.
  4. - Внешний публичный IPv4-адрес для каждого устройства ZyWALL. IP-адрес не должен находиться за NAT. Это обязательное требование.

4xfl3chatw7o.png

 

1. Создайте виртуальную сеть (VNet)

1.       В браузере перейдите на портал Azure и войдите в свою учетную запись Azure.

2.       Нажмите Create a resource. В поле Search the marketplace введите «virtual network». Найдите Virtual network в списке результатов и откройте страницу Virtual Network.

3.       В нижней части страницы Virtual Network в списке Select a deployment model выберите Resource Manager и нажмите Create. Откроется страница «Create virtual network».

ekpusf18udsr.png

2. Создайте подсеть шлюза

Шлюз виртуальной сети использует специальную подсеть, называемую подсетью шлюза (gateway subnet). Это часть адресного пространства виртуальной сети, которое вы указываете при создании виртуальной сети. Она содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети.

1.       В портале перейдите к виртуальной сети, для которой хотите создать шлюз виртуальной сети.

2.       В разделе Settings на странице вашей VNet нажмите Subnets, чтобы развернуть страницу подсетей.

3.       На странице Subnets нажмите +Gateway subnet вверху, чтобы открыть страницу Add subnet.

v7xc8ijlgk3w.png

 

4. Поле Name для вашей подсети автоматически заполнится значением «GatewaySubnet». Значение GatewaySubnet обязательно, чтобы Azure распознал подсеть как подсеть шлюза. Отредактируйте автоматически заполненный диапазон адресов Address range в соответствии с вашими требованиями к конфигурации.

18ykjeocboi9.png

5. Чтобы создать подсеть, нажмите OK внизу страницы.

3. Создайте VPN-шлюз

1. Слева на странице портала нажмите + и введите «Virtual Network Gateway» в строке поиска. В результатах найдите и нажмите Virtual network gateway.

2. Внизу страницы «Virtual network gateway» нажмите Create. Откроется страница Create virtual network gateway.

3. На странице Create virtual network gateway укажите значения для вашего VPN-шлюза.

w4ucdcjggbmx.png

· Имя (Name): Vnet1GW

· Тип шлюза (Gateway type): VPN

· Тип VPN (VPN type): выберите VPN типа Route-based

· SKU: VpnGw1

BGP поддерживается на Azure VpnGw1, VpnGw2, VpnGw3, Standard и HighPerformance SKU.
Базовый SKU НЕ поддерживается. Здесь необходимо выбрать как минимум VpnGw1.

· Виртуальная сеть (Virtual network): Нажмите Virtual network/Choose a virtual network, чтобы открыть страницу Choose a virtual network. Выберите VNet1.

· Публичный IP-адрес (Public IP address): Эта настройка указывает объект публичного IP-адреса, который будет связан с VPN-шлюзом.

- Оставьте выбранным Create new.

- В текстовом поле введите Имя (Name) для вашего публичного IP-адреса. Для этого примера используйте VNet1GWIP.

· Отметьте опцию Configure BGP ASN и введите номер ASN. Azure резервирует следующие ASN для внутренних и внешних пирингов:

         · Публичные ASN: 8074, 8075, 12076

         · Частные ASN: 65515, 65517, 65518, 65519, 65520

· Регион (Location): выберите регион, совпадающий с вашим VNet

4. Нажмите Create, чтобы начать создание VPN-шлюза.

После создания шлюза слева на странице портала нажмите All resources и откройте шлюз виртуальной сети, чтобы просмотреть дополнительную информацию. Публичный IP-адрес будет отображён справа.

4. Получите IP-адрес BGP-пира Azure

Вам нужно получить IP-адрес BGP-пира этого VPN-шлюза. Этот адрес потребуется для настройки на вашем ZyWALL в качестве соседа BGP.

Откройте страницу конфигурации вашего Azure VPN-шлюза, чтобы узнать этот адрес.

34atj65u3n5c.png

5. Создайте локальный сетевой шлюз

Локальный сетевой шлюз обычно относится к вашей локальной площадке. Вы задаёте имя для сайта, по которому Azure сможет ссылаться на него, затем указываете IP-адрес локального устройства ZyWALL, с которым будет установлено соединение.

1.       В портале нажмите +Create a resource.

2.       В строке поиска введите Local network gateway и нажмите Enter для поиска. В списке результатов нажмите Local network gateway, затем кнопку Create для открытия страницы Create local network gateway.

3.       На странице Create local network gateway укажите значения для локального сетевого шлюза.

Самая важная часть — список адресного пространства. Здесь укажите IP-адрес BGP-пира вашего ZyWALL, обычно это IP-адрес интерфейса туннеля VTI. В этом примере — 10.1.254.1/32

Отметьте Configure BGP settings и введите ASN BGP вашего ZyWALL.

IP-адрес BGP-пира: введите IP-адрес интерфейса VTI на ZyWALL. В этом примере — 10.1.254.1

9rrd3x2slk8z.png

6. Создайте VPN-соединение

1.       Перейдите и откройте страницу вашего шлюза виртуальной сети.

2.       На странице VNet1GW нажмите Connections. Вверху страницы Connections нажмите +Add, чтобы открыть страницу Add connection.

7uahk0fe9ssw.png

3.      На странице Add connection настройте параметры подключения. В качестве типа подключения выберите Site-to-site (IPSec).

Введите Shared key(PSK), который должен совпадать с предварительно заданным ключом (Pre-Shared Key) в настройках VPN-шлюза вашего ZyWALL.

Примечание: предварительно заданный ключ должен содержать от 8 до 32 символов.

wcbrlvft8sb6.png

7. Включите BGP в Azure VPN-соединении

1.       Перейдите и откройте страницу созданного VPN-соединения Azure.

2.       Нажмите Configuration для открытия страницы конфигурации.

3.       Включите BGP и нажмите Сохранить.

dkuhb32e00dr.png

После завершения настройки VPN на портале Azure вы можете настроить соответствующие параметры VPN на вашем ZyWALL.

8. Создайте правило VPN-шлюза (Фаза 1)

В веб-интерфейсе ZyWALL перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Gateway, нажмите Add для создания правила VPN-шлюза.

На странице Add VPN Gateway укажите параметры для вашего виртуального сетевого шлюза.

meodw6099556.png

·         Включить (Enable): отметьте этот флажок для активации правила

·         Имя (Name): в примере — «Azure»

·         Версия IKE (IKE Version): IKEv2

·         Адрес шлюза пиринга (Peer Gateway Address): выберите статический адрес и укажите публичный IP-адрес шлюза виртуальной сети Azure в поле Primary

·         Предварительно общий ключ (Pre-Shared Key): введите общий ключ (PSK) из настроек VPN-соединения Azure

·         Время жизни SA (SA Life Time): 28800 секунд

·         Алгоритм шифрования (Encryption algorithm): оставьте значение по умолчанию, AES128

·         Алгоритм аутентификации (Authentication algorithm): оставьте значение по умолчанию, SHA1

·         Группа ключей (Key Group): оставьте значение по умолчанию, DH2

9. Создайте правило VPN-соединения (Фаза 2)

В веб-интерфейсе ZyWALL перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Connection, нажмите Add для создания правила VPN-соединения.

На странице Add VPN Connection укажите параметры для вашего виртуального сетевого шлюза.

na4xvbix64cn.png

·         Включить (Enable): отметьте этот флажок для активации правила

·         Имя (Name): в примере — «Azure»

·         TCP MSS: 1379 байт

·         Сценарий применения (Application Scenario): выберите VPN Tunnel Interface для маршрутизируемого VPN

·         VPN-шлюз (VPN Gateway): выберите «Azure».

·         Время жизни SA (SA Life Time): 3600 секунд

·         Алгоритм шифрования (Encryption algorithm): выберите AES256

·         Алгоритм аутентификации (Authentication algorithm): оставьте значение по умолчанию, SHA1

·         PFS: выберите none

Примечание: алгоритм шифрования Фазы 2 должен быть только AES256 для полной совместимости с VPN-шлюзом Azure.

10. Создайте интерфейс VTI

В веб-интерфейсе ZyWALL перейдите в CONFIGURATION > Network > Interface > VTI, нажмите Add для создания интерфейса VTI

d68jwzldb683.png

·         Имя интерфейса (Interface Name): vti0

·         Зона (Zone): IPSec_VPN

·         vpn-правило (vpn-rule): Azure

·         IP-адрес (IP Address): 10.1.245.1

·         Маска подсети (Subnet Mask): 255.255.255.252

11. Создайте статические маршруты для BGP-пира

В веб-интерфейсе ZyWALL перейдите в CONFIGURATION > Network > Routing > Static Route.

Добавьте маршрут к подсети шлюза Azure, в этом примере — 10.0.0.0/29

Это маршрут для TCP-соединения BGP к IP-адресу BGP-пира Azure.

pr2fdpor8vdo.png

12. Настройте BGP

В веб-интерфейсе ZyWALL перейдите в CONFIGURATION > Network > Routing > BGP

1. Введите ASN BGP для этого сайта

2. Введите Router ID для этого ZyWALL. Обычно это IP-адрес LAN-интерфейса вашего ZyWALL.

fj8ablursxea.png

3. Добавьте Azure BGP-пира как соседа: введите IP-адрес BGP-пира Azure, введите ASN BGP Azure VNet, включите eBGP Multihop

Выберите интерфейс VTI как источник BGP-пакетов, отправляемых между пирами

hdqb7kd1ioi9.png

4. Добавьте маршруты, которые хотите анонсировать Azure BGP-пиру

2e5a5iv1vcs0.png

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.