VPN - Konfigurera ruttbaserad IPsec VPN till Azure (BGP över IKEv2/IPSec)

Den här artikeln visar hur du konfigurerar en Azure multi-site-anslutning (VNet/virtuella nätverksgateways) via site-to-site IPsec VPN med ruttbaserad VPN och BGP över IKEv2 (USG FLEX / ATP / VPN-serien). 

Introduktion

Denna typ av anslutning är en variation av Site-to-Site-anslutningen. Du skapar mer än en VPN-anslutning från din virtuella nätverksgateway, vanligtvis för att ansluta till flera lokala platser.
När du arbetar med flera anslutningar måste du använda en ruttbaserad VPN-typ (känd som en dynamisk gateway när du arbetar med klassiska VNet). Eftersom varje virtuellt nätverk bara kan ha en VPN-gateway delar alla anslutningar via gatewayen på den tillgängliga bandbredden. Detta kallas ofta för en "multi-site"-anslutning.

Innan du börjar

Innan du börjar konfigurera, kontrollera att du har följande:

  1. -Du har ett Azure virtuellt nätverk som skapades med Resource Manager-distributionsmodellen
  2. -Den virtuella nätverksgatewayen för ditt VNet är ruttbaserad. Om du har en policybaserad VPN-gateway måste du ta bort den virtuella nätverksgatewayen och skapa en ny VPN-gateway som ruttbaserad.
  3. -Inga adressintervall för varje lokal nätverksplats överlappar för något av de VNets som detta VNet ansluter till.
  4. -En externt riktad offentlig IPv4-adress för varje ZyWALL-enhet. IP-adressen får inte vara placerad bakom en NAT. Detta är ett krav.

4xfl3chatw7o.png

 

1. Skapa ett virtuellt nätverk (VNet)

1.       Öppna en webbläsare och gå till Azure-portalen och logga in med ditt Azure-konto.

2.       Klicka på Skapa en resurs. I fältet Sök i marknadsplatsen, skriv 'virtuellt nätverk'. Leta upp Virtuellt nätverk i listan som visas och klicka för att öppna sidan Virtuellt nätverk.

3.       Längst ner på sidan Virtuellt nätverk, välj från listan Välj en distributionsmodell alternativet Resource Manager och klicka sedan på Skapa. Detta öppnar sidan 'Skapa virtuellt nätverk'.

ekpusf18udsr.png

2. Skapa gateway-subnätet

Den virtuella nätverksgatewayen använder ett specifikt subnät som kallas gateway-subnät. Det är en del av det virtuella nätverkets IP-adressutrymme som du anger när du skapar ditt virtuella nätverk. Det innehåller IP-adresser som de virtuella nätverksgatewayresurserna och tjänsterna använder.

1.       I portalen, navigera till det virtuella nätverk där du vill skapa en virtuell nätverksgateway.

2.       I avsnittet Inställningar på din VNet-sida klickar du på Subnät för att expandera sidan Subnät.

3.       På sidan Subnät klickar du på +Gateway-subnät överst för att öppna sidan Lägg till subnät.

v7xc8ijlgk3w.png

 

4. Namnet på ditt subnät fylls i automatiskt med värdet 'GatewaySubnet'. Värdet GatewaySubnet krävs för att Azure ska känna igen subnätet som gateway-subnätet. Justera de automatiskt ifyllda Adressintervall-värdena så att de matchar dina konfigurationskrav.

18ykjeocboi9.png

5. För att skapa subnätet klickar du på OK längst ner på sidan.

3. Skapa VPN-gatewayen

1. På portalens vänstra sida klickar du på + och skriver 'Virtuell nätverksgateway' i sökfältet. I Resultat hittar du och klickar på Virtuell nätverksgateway.

2. Längst ner på sidan 'Virtuell nätverksgateway' klickar du på Skapa. Detta öppnar sidan Skapa virtuell nätverksgateway.

3. På sidan Skapa virtuell nätverksgateway anger du värdena för din virtuella nätverksgateway.

w4ucdcjggbmx.png

· Namn: Vnet1GW

· Gateway-typ: VPN

· VPN-typ: välj den ruttbaserade VPN-typen

· SKU: VpnGw1

BGP stöds på Azure VpnGw1, VpnGw2, VpnGw3Standard och HighPerformance SKU.
Basic SKU stöds INTE. Här måste du välja minst VpnGw1.

· Virtuellt nätverk: Klicka på Virtuellt nätverk/Välj ett virtuellt nätverk för att öppna sidan Välj ett virtuellt nätverk. Välj VNet1.

· Offentlig IP-adress: Denna inställning specificerar det offentliga IP-adressobjekt som kopplas till VPN-gatewayen.

-Lämna Skapa nytt valt.

-Skriv ett Namn för din offentliga IP-adress i textrutan. För detta exempel, använd VNet1GWIP.

· Markera alternativet Konfigurera BGP ASN och skriv in ASN-numret. Azure reserverar följande ASN för både interna och externa peerings:

         · Publika ASN: 8074, 8075, 12076

         · Privata ASN: 65515, 65517, 65518, 65519, 65520

· Plats: välj samma plats som ditt VNet

4. Klicka på Skapa för att börja skapa VPN-gatewayen.

När gatewayen har skapats, klicka på vänstra sidan av portalens sida på Alla resurser och klicka in på den virtuella nätverksgatewayen för att visa mer information. Den offentliga IP-adressen visas på höger sida.

4. Hämta Azure BGP Peer IP-adress

Du behöver hämta BGP Peer IP-adressen för denna VPN-gateway. Denna adress behövs för att konfigurera som BGP-granne på din ZyWALL.

Öppna konfigurationssidan för din Azure VPN-gateway för att få den.

34atj65u3n5c.png

5. Skapa den lokala nätverksgatewayen

Den lokala nätverksgatewayen avser vanligtvis din lokala plats. Du ger platsen ett namn som Azure kan referera till och anger sedan IP-adressen för den lokala ZyWALL-enheten som du ska skapa en anslutning till.

1.       I portalen klickar du på + Skapa en resurs.

2.       I sökrutan skriver du Local network gateway och trycker på Enter för att söka. Detta ger en lista med resultat. Klicka på Local network gateway och sedan på Skapa för att öppna sidan Skapa lokal nätverksgateway.

3.       På sidan Skapa lokal nätverksgateway anger du värdena för din lokala nätverksgateway.

Den viktigaste delen är adressutrymmeslistan. Här anger du BGP peer IP-adressen för din ZyWALL, vanligtvis IP-adressen för VTI-tunnelgränssnittet. I detta exempel är det 10.1.254.1/32

Markera Konfigurera BGP-inställningar och skriv in BGP ASN för din ZyWALL.

BGP peer IP-adress: Skriv in IP-adressen för ditt VTI-gränssnitt på ZyWALL. I detta exempel är det 10.1.254.1

9rrd3x2slk8z.png

6. Skapa VPN-anslutningen

1.       Navigera till och öppna sidan för din virtuella nätverksgateway.

2.       På sidan för VNet1GW klickar du på Anslutningar. Överst på sidan Anslutningar klickar du på + Lägg till för att öppna sidan Lägg till anslutning.

7uahk0fe9ssw.png

3.      På sidan Lägg till anslutning konfigurerar du värdena för din anslutning. Välj Site-to-site (IPSec) som anslutningstyp.

Skriv in Delad nyckel (PSK) som du måste konfigurera med samma värde som den fördelade nyckeln i VPN-gatewayens inställningssida på din ZyWALL.

Observera: Den fördelade nyckeln måste vara minst 8 till 32 tecken lång.

wcbrlvft8sb6.png

7. Aktivera BGP på Azure VPN-anslutningen

1.       Navigera till och öppna sidan för den skapade Azure VPN-anslutningen.

2.       Klicka på Konfiguration för att öppna konfigurationssidan

3.       Aktivera BGP och klicka sedan på Spara

dkuhb32e00dr.png

Efter att du har slutfört VPN-konfigurationen i Azure-portalen kan du konfigurera relaterade VPN-inställningar på din ZyWALL.

8. Skapa VPN Gateway-regeln (Fas 1)

I ZyWALL:s webbgränssnitt, gå till KONFIGURATION > VPN > IPSec VPN > VPN

Gateway, klicka på Lägg till för att skapa en VPN Gateway-regel.

På sidan Lägg till VPN Gateway anger du värdena för din virtuella nätverksgateway.

meodw6099556.png

·         Aktivera: markera rutan Aktivera för att aktivera denna regel

·         Namn: “Azure” som regelnamn i detta exempel

·         IKE-version: IKEv2

·         Peer Gateway-adress: välj statisk adress och fyll i den offentliga IP-adressen för Azure virtuella nätverksgateway i Primär-fältet

·         Fördelad nyckel: fyll i den delade nyckeln (PSK) för Azure VPN-anslutningen

·         SA Livslängd: 28800 sekunder

·         Krypteringsalgoritm: behåll standardvärdet, AES128

·         Autentiseringsalgoritm: behåll standardvärdet, SHA1

·         Nyckelgrupp: behåll standardvärdet, DH2

9. Skapa VPN-anslutningsregeln (Fas 2)

I ZyWALL:s webbgränssnitt, gå till KONFIGURATION > VPN > IPSec VPN > VPN

Anslutning, klicka på Lägg till för att skapa en VPN-anslutningsregel.

På sidan Lägg till VPN-anslutning anger du värdena för din virtuella nätverksgateway.

na4xvbix64cn.png

·         Aktivera: markera rutan Aktivera för att aktivera denna regel

·         Namn: “Azure” som regelnamn i detta exempel

·         TCP MSS: 1379 Bytes

·         Applikationsscenario: välj VPN Tunnel Interface för ruttbaserad VPN

·         VPN Gateway: välj “Azure.”

·         SA Livslängd: 3600 sekunder

·         Krypteringsalgoritm: välj AES256

·         Autentiseringsalgoritm: behåll standardvärdet, SHA1

·         PFS: välj ingen

Observera: Fas 2-krypteringsalgoritmen bör väljas som AES256 för full kompatibilitet med Azure VPN-gateway.

10. Skapa ett VTI-gränssnitt

I ZyWALL:s webbgränssnitt, gå till KONFIGURATION > Nätverk > Gränssnitt > VTI, klicka på Lägg till för att skapa ett VTI-gränssnitt

d68jwzldb683.png

·         Gränssnittsnamn: vti0

·         Zone: IPSec_VPN

·         vpn-regel: Azure

·         IP-adress: 10.1.245.1

·         Subnetmask: 255.255.255.252

11. Skapa statiska rutter för BGP-peer

I ZyWALL:s webbgränssnitt, gå till KONFIGURATION > Nätverk > Routing > Statisk rutt.

Lägg till rutt till gateway-subnätet för Azure, i detta exempel är det 10.0.0.0/29

Detta är rutten för TCP-anslutningen av BGP till Azure BGP peer IP-adressen.

pr2fdpor8vdo.png

12. Konfigurera BGP

I ZyWALL:s webbgränssnitt, gå till KONFIGURATION > Nätverk > Routing > BGP

1. Skriv in BGP ASN för denna plats

2. Skriv in Router-ID för denna ZyWALL. Vanligtvis är det IP-adressen för LAN-gränssnittet på din ZyWALL.

fj8ablursxea.png

3. Lägg till Azure BGP-peer som granne. Skriv in Azure BGP peer IP-adress. Skriv in BGP ASN för Azure VNet. Aktivera eBGP Multihop.

Välj VTI-gränssnittet som källa för BGP-paket som skickas mellan peers.

hdqb7kd1ioi9.png

4. Lägg till de routerposter som ska annonseras till Azure BGP-peer.

2e5a5iv1vcs0.png

Artiklar i detta avsnitt

Var denna artikel till hjälp?
0 av 0 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.