VPN - Azure için Rota Tabanlı IPsec VPN Yapılandırması (IKEv2/IPSec Üzerinden BGP)

Başka sorularınız var mı? Bir talep gönder

Bu makale, rota tabanlı VPN ve IKEv2 üzerinden BGP kullanarak site-to-site IPsec VPN aracılığıyla Azure çoklu site bağlantısının (VNet/Sanal Ağ geçitleri) nasıl yapılandırılacağını göstermektedir (USG FLEX / ATP / VPN serisi).

Giriş

Bu bağlantı türü, Site-to-Site bağlantısının bir çeşididir. Sanal ağ geçidinizden birden fazla VPN bağlantısı oluşturursunuz, genellikle birden çok yerel siteye bağlanmak için.
Birden çok bağlantı ile çalışırken, Rota tabanlı VPN türünü kullanmalısınız (klasik VNet'lerle çalışırken dinamik geçit olarak bilinir). Çünkü her sanal ağda yalnızca bir VPN geçidi olabilir ve tüm bağlantılar bu geçit üzerinden mevcut bant genişliğini paylaşır. Bu genellikle "çoklu site" bağlantısı olarak adlandırılır.

Başlamadan önce

Yapılandırmaya başlamadan önce aşağıdakilere sahip olduğunuzu doğrulayın:

  1. -Azure kaynak yöneticisi dağıtım modeli kullanılarak oluşturulmuş bir Azure sanal ağınız var
  2. -VNet'iniz için sanal ağ geçidi Rota Tabanlıdır. Politika tabanlı VPN geçidiniz varsa, sanal ağ geçidini silip yeni bir VPN geçidini Rota Tabanlı olarak oluşturmalısınız.
  3. -Bağlandığınız VNet'lerin herhangi birindeki yerel ağ sitelerinin adres aralıkları örtüşmüyor.
  4. -Her ZyWALL cihazı için NAT arkasında olmayan, dışa açık bir genel IPv4 IP adresiniz var. Bu zorunludur.

4xfl3chatw7o.png

 

1. Sanal ağ (VNet) oluşturun

1.       Bir tarayıcıdan Azure portal adresine gidin ve Azure hesabınızla oturum açın.

2.       Kaynak oluştur öğesine tıklayın. Marketplace'de ara alanına 'virtual network' yazın. Dönen listede Sanal ağ'ı bulun ve açmak için tıklayın.

3.       Sanal Ağ sayfasının altına yakın yerde, Bir dağıtım modeli seçin listesinden Resource Manager'ı seçin ve ardından Oluştur'a tıklayın. Bu, 'Sanal ağ oluştur' sayfasını açar.

ekpusf18udsr.png

2. Geçit alt ağını oluşturun

Sanal ağ geçidi, geçit alt ağı adı verilen belirli bir alt ağı kullanır. Bu, sanal ağ oluştururken belirttiğiniz sanal ağ IP adres alanının bir parçasıdır. Sanal ağ geçidi kaynakları ve hizmetlerinin kullandığı IP adreslerini içerir.

1.       Portalda, sanal ağ geçidi oluşturmak istediğiniz sanal ağa gidin.

2.       VNet sayfanızın Ayarlar bölümünde, Alt Ağlar'a tıklayarak Alt Ağlar sayfasını genişletin.

3.       Alt Ağlar sayfasında, üstteki +Geçit alt ağı seçeneğine tıklayarak Alt ağ ekle sayfasını açın.

v7xc8ijlgk3w.png

 

4. Alt ağınız için Ad otomatik olarak 'GatewaySubnet' olarak doldurulur. Azure'un bu alt ağı geçit alt ağı olarak tanıması için GatewaySubnet değeri gereklidir. Otomatik doldurulan Adres aralığı değerlerini yapılandırma gereksinimlerinize göre ayarlayın.

18ykjeocboi9.png

5. Alt ağı oluşturmak için sayfanın altındaki Tamam'a tıklayın.

3. VPN geçidini oluşturun

1. Portal sayfasının sol tarafında, + simgesine tıklayın ve arama kutusuna 'Virtual Network Gateway' yazın. Sonuçlarda Sanal ağ geçidini bulun ve tıklayın.

2. 'Sanal ağ geçidi' sayfasının altında, Oluştur'a tıklayın. Bu, Sanal ağ geçidi oluştur sayfasını açar.

3. Sanal ağ geçidi oluştur sayfasında, sanal ağ geçidiniz için değerleri belirtin.

w4ucdcjggbmx.png

· Ad: Vnet1GW

· Geçit türü: VPN

· VPN türü: Rota tabanlı VPN türünü seçin

· SKU: VpnGw1

Azure'da BGP, VpnGw1, VpnGw2, VpnGw3, Standard ve HighPerformance SKU'larında desteklenir.
Basic SKU desteklenmez. Burada en az VpnGw1 seçmeniz gerekir.

· Sanal ağ: Sanal ağ/Sanal ağ seçe tıklayarak Sanal ağ seç sayfasını açın. VNet1'i seçin.

· Genel IP adresi: Bu ayar, VPN geçidi ile ilişkilendirilecek genel IP adresi nesnesini belirtir.

-Yeni oluştur seçili bırakın.

-Metin kutusuna genel IP adresiniz için bir Ad yazın. Bu uygulama için VNet1GWIP kullanın.

· BGP ASN Yapılandır seçeneğini işaretleyin ve ASN numarasını girin. Azure, hem dahili hem harici eşleştirmeler için aşağıdaki ASN'leri ayırır:

         · Genel ASN'ler: 8074, 8075, 12076

         · Özel ASN'ler: 65515, 65517, 65518, 65519, 65520

· Konum: VNet ile aynı konumu seçin

4. VPN geçidini oluşturmaya başlamak için Oluştur'a tıklayın.

Geçit oluşturulduktan sonra, portal sayfasının sol tarafında Tüm kaynaklar'a tıklayın ve sanal ağ geçidine girerek daha fazla bilgi görüntüleyin. Genel IP adresi sağ tarafta gösterilecektir.

4. Azure BGP Eş IP adresini alın

Bu VPN Geçidinin BGP Eş IP adresini almanız gerekir. Bu adres, ZyWALL cihazınızda BGP komşusu olarak yapılandırılacaktır.

Azure VPN Geçidinizin Yapılandırma sayfasını açarak bu adresi edinin.

34atj65u3n5c.png

5. Yerel ağ geçidini oluşturun

Yerel ağ geçidi genellikle yerel tesislerinizi ifade eder. Siteye Azure'un başvurabileceği bir ad verirsiniz, ardından bağlantı kuracağınız yerel ZyWALL cihazının IP adresini belirtirsiniz.

1.       Portalda +Kaynak oluştur'a tıklayın.

2.       Arama kutusuna Yerel ağ geçidi yazın ve Enter tuşuna basın. Bir sonuç listesi dönecektir. Yerel ağ geçidi'ni seçin ve ardından Oluştur düğmesine tıklayarak Yerel ağ geçidi oluştur sayfasını açın.

3.       Yerel ağ geçidi oluştur sayfasında, yerel ağ geçidiniz için değerleri belirtin.

En önemli kısım adres alanı listesidir. Burada ZyWALL'unuzun BGP eş IP adresi, genellikle VTI tünel arayüzünün IP adresidir. Bu örnekte 10.1.254.1/32'dir.

BGP ayarlarını yapılandır seçeneğini işaretleyin ve ZyWALL'unuzun BGP ASN'sini girin.

BGP eş IP adresi: ZyWALL'unuzdaki VTI arayüzünün IP adresini girin. Bu örnekte 10.1.254.1'dir.

9rrd3x2slk8z.png

6. VPN bağlantısını oluşturun

1.       Sanal ağ geçidinizin sayfasına gidin ve açın.

2.       VNet1GW sayfasında Bağlantılar'a tıklayın. Bağlantılar sayfasının üstünde +Ekle'ye tıklayarak Bağlantı ekle sayfasını açın.

7uahk0fe9ssw.png

3.      Bağlantı ekle sayfasında, bağlantınız için değerleri yapılandırın. Bağlantı türü olarak Site-to-site (IPSec) seçin.

ZyWALL'unuzun VPN geçidi ayarları sayfasında Ön Paylaşımlı Anahtar (PSK) ile aynı değeri yapılandırmanız gereken Paylaşılan anahtar (PSK)yı girin.

Not: Ön paylaşımlı anahtar en az 8, en fazla 32 karakter olmalıdır.

wcbrlvft8sb6.png

7. Azure VPN Bağlantısında BGP'yi etkinleştirin

1.       Oluşturulan Azure VPN bağlantısının sayfasına gidin ve açın.

2.       Yapılandırma sayfasını açmak için Yapılandırma'ya tıklayın.

3.       BGP'yi etkinleştirin ve ardından Kaydet'e tıklayın.

dkuhb32e00dr.png

Azure portalında VPN yapılandırmasını tamamladıktan sonra, ilgili VPN ayarlarını ZyWALL'unuzda yapılandırabilirsiniz.

8. VPN Geçidi Kuralını Oluşturun (Aşama 1)

ZyWALL Web GUI'de, GÖRÜNÜM > VPN > IPSec VPN > VPN Geçidi bölümüne gidin, VPN Geçidi kuralı oluşturmak için Ekle'ye tıklayın.

VPN Geçidi Ekle sayfasında, sanal ağ geçidiniz için değerleri belirtin.

meodw6099556.png

·         Etkinleştir: Bu kuralı etkinleştirmek için Etkinleştir kutusunu işaretleyin

·         Ad: Bu örnekte kural adı olarak “Azure”

·         IKE Sürümü: IKEv2

·         Karşı Geçit Adresi: statik adres seçin ve Azure sanal ağ geçidinin Genel IP adresini Birincil alana girin

·         Ön Paylaşımlı Anahtar: Azure VPN bağlantısının Paylaşılan Anahtarını girin

·         SA Yaşam Süresi: 28800 saniye

·         Şifreleme algoritması: varsayılan değer AES128 olarak bırakın

·         Kimlik Doğrulama algoritması: varsayılan değer SHA1 olarak bırakın

·         Anahtar Grubu: varsayılan değer DH2 olarak bırakın

9. VPN Bağlantı Kuralını Oluşturun (Aşama 2)

ZyWALL Web GUI'de, GÖRÜNÜM > VPN > IPSec VPN > VPN Bağlantısı bölümüne gidin, VPN Bağlantısı kuralı oluşturmak için Ekle'ye tıklayın.

VPN Bağlantısı Ekle sayfasında, sanal ağ geçidiniz için değerleri belirtin.

na4xvbix64cn.png

·         Etkinleştir: Bu kuralı etkinleştirmek için Etkinleştir kutusunu işaretleyin

·         Ad: Bu örnekte kural adı olarak “Azure”

·         TCP MSS: 1379 Bayt

·         Uygulama Senaryosu: rota tabanlı VPN için VPN Tünel Arayüzü seçin

·         VPN Geçidi: “Azure” seçin.

·         SA Yaşam Süresi: 3600 saniye

·         Şifreleme algoritması: AES256 seçin

·         Kimlik Doğrulama algoritması: varsayılan değer SHA1 olarak bırakın

·         PFS: yok seçin

Not: Aşama 2 Şifreleme algoritması, Azure VPN geçidi ile tam uyumluluk için yalnızca AES256 olarak seçilmelidir.

10. VTI Arayüzü Oluşturun

ZyWALL Web GUI'de, GÖRÜNÜM > Ağ > Arayüz > VTI bölümüne gidin, VTI arayüzü oluşturmak için Ekle'ye tıklayın

d68jwzldb683.png

·         Arayüz Adı: vti0

·         Bölge: IPSec_VPN

·         vpn-kuralı: Azure

·         IP Adresi: 10.1.245.1

·         Alt Ağ Maskesi: 255.255.255.252

11. BGP komşusu için Statik Yönlendirmeler oluşturun

ZyWALL Web GUI'de, GÖRÜNÜM > Ağ > Yönlendirme > Statik Yönlendirme bölümüne gidin.

Azure'un Geçit Alt Ağına rota ekleyin, bu örnekte 10.0.0.0/29

Bu, BGP'nin Azure BGP eş IP adresine TCP bağlantısı için rotadır.

pr2fdpor8vdo.png

12. BGP'yi yapılandırın

ZyWALL Web GUI'de, GÖRÜNÜM > Ağ > Yönlendirme > BGP bölümüne gidin

1. Bu sitenin BGP ASN'sini girin

2. Bu ZyWALL'un Yönlendirici Kimliğini girin. Genellikle ZyWALL'unuzun LAN arayüzünün IP adresidir.

fj8ablursxea.png

3. Azure BGP eşini komşu olarak ekleyin Azure BGP eş IP adresini girin Azure VNet'in BGP ASN'sini girin eBGP Multihop'u etkinleştirin

BGP paketlerinin eşler arasında gönderildiği kaynak olarak VTI arayüzünü seçin

hdqb7kd1ioi9.png

4. Azure BGP eşine duyurmak istediğiniz yönlendirici girdilerini ekleyin

2e5a5iv1vcs0.png

Bu bölümdeki makaleler

Bu makale yardımcı oldu mu?
0 kişi içerisinden 0 kişi bunun yardımcı olduğunu düşündü
Paylaş

Yorumlar

0 yorum

Yorum yazmak için lütfen oturum açın: oturum aç.