Share via

ExpressRoute-versleuteling: IPsec via ExpressRoute voor Virtual WAN

  • Artikel

In dit artikel wordt beschreven hoe u Azure Virtual WAN gebruikt om een IPsec/IKE VPN-verbinding van uw on-premises netwerk naar Azure tot stand te brengen via de persoonlijke peering van een Azure ExpressRoute-circuit. Deze techniek kan een versleutelde doorvoer bieden tussen de on-premises netwerken en virtuele Azure-netwerken via ExpressRoute, zonder via het openbare internet te gaan of openbare IP-adressen te gebruiken.

Topologie en routering

In het volgende diagram ziet u een voorbeeld van VPN-connectiviteit via persoonlijke ExpressRoute-peering:

Diagram van VPN via ExpressRoute.

In het diagram ziet u een netwerk binnen het on-premises netwerk dat is verbonden met de VPN-gateway van de Azure-hub via persoonlijke ExpressRoute-peering. De connectiviteit is eenvoudig:

  1. ExpressRoute-connectiviteit tot stand brengen met een ExpressRoute-circuit en persoonlijke peering.
  2. Stel de VPN-verbinding tot stand zoals beschreven in dit artikel.

Een belangrijk aspect van deze configuratie is routering tussen de on-premises netwerken en Azure via zowel de ExpressRoute- als vpn-paden.

Verkeer van on-premises netwerken naar Azure

Voor verkeer van on-premises netwerken naar Azure worden de Azure-voorvoegsels (inclusief de virtuele hub en alle virtuele spoke-netwerken die zijn verbonden met de hub) geadverteerd via zowel de ExpressRoute-privépeering-BGP als de VPN BGP. Dit resulteert in twee netwerkroutes (paden) naar Azure vanuit de on-premises netwerken:

  • Eén via het met IPsec beveiligde pad
  • Eén rechtstreeks via ExpressRoute zonder IPsec-beveiliging

Als u versleuteling wilt toepassen op de communicatie, moet u ervoor zorgen dat voor het VPN-verbonden netwerk in het diagram de Azure-routes via de on-premises VPN-gateway de voorkeur hebben boven het directe ExpressRoute-pad.

Verkeer van Azure naar on-premises netwerken

Dezelfde vereiste geldt voor het verkeer van Azure naar on-premises netwerken. Om ervoor te zorgen dat het IPsec-pad de voorkeur heeft boven het directe ExpressRoute-pad (zonder IPsec), hebt u twee opties:

  • Maak specifiekere voorvoegsels op de VPN BGP-sessie voor het vpn-verbonden netwerk. U kunt een groter bereik adverteren dat het VPN-verbonden netwerk omvat via persoonlijke ExpressRoute-peering, en vervolgens specifiekere bereiken in de VPN BGP-sessie. Adverteer bijvoorbeeld 10.0.0.0/16 via ExpressRoute en 10.0.1.0/24 via VPN.

  • Niet-aaneengesloten voorvoegsels voor VPN en ExpressRoute adverteren. Als de met VPN verbonden netwerkbereiken niet aan elkaar zijn gekoppeld van andere verbonden ExpressRoute-netwerken, kunt u de voorvoegsels in respectievelijk de VPN- en ExpressRoute BGP-sessies adverteren. Adverteer bijvoorbeeld 10.0.0.0/24 via ExpressRoute en 10.0.1.0/24 via VPN.

In beide voorbeelden verzendt Azure verkeer naar 10.0.1.0/24 via de VPN-verbinding in plaats van rechtstreeks via ExpressRoute zonder VPN-beveiliging.

Waarschuwing

Als u dezelfde voorvoegsels adverteert via zowel ExpressRoute- als VPN-verbindingen, gebruikt Azure het ExpressRoute-pad rechtstreeks zonder VPN-beveiliging.

Voordat u begint

Voordat u de configuratie start, controleert u of u voldoet aan de volgende criteria:

  • Als u al een virtueel netwerk hebt waarmee u verbinding wilt maken, controleert u of er geen subnetten van uw on-premises netwerk mee overlappen. Uw virtuele netwerk vereist geen gatewaysubnet en kan geen virtuele netwerkgateways hebben. Als u geen virtueel netwerk hebt, kunt u er een maken met behulp van de stappen in dit artikel.
  • Zorg dat u een IP-adresbereik krijgt voor uw hubregio. De hub is een virtueel netwerk en het adresbereik dat u opgeeft voor de hubregio mag niet overlappen met een bestaand virtueel netwerk waarmee u verbinding maakt. Het kan ook niet overlappen met de adresbereiken waarmee u on-premises verbinding maakt. Als u niet bekend bent met de IP-adresbereiken in uw on-premises netwerkconfiguratie, kunt u contact opnemen met iemand die deze gegevens voor u kan verstrekken.
  • Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

1. Een virtueel WAN en een hub met gateways maken

De volgende Azure-resources en de bijbehorende on-premises configuraties moeten aanwezig zijn voordat u verdergaat:

Zie Een ExpressRoute-koppeling maken met behulp van Azure Virtual WAN voor de stappen voor het maken van een virtueel Wan in Azure en een hub met een ExpressRoute-koppeling. Zie Een site-naar-site-verbinding maken met behulp van Azure Virtual WAN voor de stappen voor het maken van een VPN-gateway in het virtuele WAN.

2. Een site maken voor het on-premises netwerk

De siteresource is hetzelfde als de niet-ExpressRoute VPN-sites voor een virtueel WAN. Het IP-adres van het on-premises VPN-apparaat kan nu een privé-IP-adres zijn of een openbaar IP-adres in het on-premises netwerk dat bereikbaar is via expressRoute-privépeering die in stap 1 is gemaakt.

Notitie

Het IP-adres voor het on-premises VPN-apparaat moet deel uitmaken van de adresvoorvoegsels die worden aangekondigd aan de virtuele WAN-hub via azure ExpressRoute-privépeering.

  1. Ga naar YourVirtualWAN > VPN-sites en maak een site voor uw on-premises netwerk. Zie Een site maken voor basisstappen. Houd rekening met de volgende instellingswaarden:

    • Border Gateway Protocol: selecteer Inschakelen als uw on-premises netwerk gebruikmaakt van BGP.
    • Privéadresruimte: voer de IP-adresruimte in die zich op uw on-premises site bevindt. Verkeer dat is bestemd voor deze adresruimte, wordt via de VPN-gateway doorgestuurd naar het on-premises netwerk.

  2. Selecteer Koppelingen om informatie over de fysieke koppelingen toe te voegen. Houd rekening met de volgende informatie over instellingen:

    • Providernaam: de naam van de internetprovider voor deze site. Voor een on-premises ExpressRoute-netwerk is dit de naam van de ExpressRoute-serviceprovider.

    • Snelheid: de snelheid van de internetservicekoppeling of het ExpressRoute-circuit.

    • IP-adres: het openbare IP-adres van het VPN-apparaat dat zich op uw on-premises site bevindt. Of voor ExpressRoute on-premises is dit het privé-IP-adres van het VPN-apparaat via ExpressRoute.

    • Als BGP is ingeschakeld, is dit van toepassing op alle verbindingen die voor deze site in Azure zijn gemaakt. Het configureren van BGP op een virtueel WAN is gelijk aan het configureren van BGP op een Azure VPN-gateway.

    • Uw on-premises BGP-peeradres mag niet hetzelfde zijn als het IP-adres van uw VPN naar het apparaat of de adresruimte van het virtuele netwerk van de VPN-site. Gebruik een ander IP-adres op het VPN-apparaat voor uw BGP-peer-IP. Het kan een adres zijn dat is toegewezen aan de loopback-interface op het apparaat. Het kan echter geen APIPA (169.254.x. x) adres. Geef dit adres op in de bijbehorende VPN-site die de locatie vertegenwoordigt. Zie Over BGP met Azure VPN-gateway voor BGP-vereisten.

  3. Selecteer Volgende: Controleren en maken > om de instellingswaarden te controleren en maak de VPN-site en vervolgens De site maken .

  4. Verbind vervolgens de site met de hub met behulp van deze basisstappen als richtlijn. Het bijwerken van de gateway kan tot 30 minuten duren.

3. De instelling voor de VPN-verbinding bijwerken voor het gebruik van ExpressRoute

Nadat u de VPN-site hebt gemaakt en verbinding hebt gemaakt met de hub, gebruikt u de volgende stappen om de verbinding te configureren voor het gebruik van persoonlijke ExpressRoute-peering:

  1. Ga naar de virtuele hub. U kunt dit doen door naar de Virtual WAN te gaan en de hub te selecteren om de hubpagina te openen, of u kunt naar de verbonden virtuele hub gaan vanaf de VPN-site.

  2. Selecteer onder Connectiviteitde optie VPN (site-naar-site).

  3. Selecteer het beletselteken (...) of klik met de rechtermuisknop op de VPN-site via ExpressRoute en selecteer VPN-verbinding met deze hub bewerken.

  4. Laat op de pagina Basisinformatie de standaardwaarden staan.

  5. Configureer op de pagina Verbinding 1 koppelen de volgende instellingen:

    • Selecteer Ja bij Privé-IP-adres van Azure gebruiken. Met de instelling configureert u de hub-VPN-gateway voor het gebruik van privé-IP-adressen binnen het hubadresbereik op de gateway voor deze verbinding, in plaats van de openbare IP-adressen. Dit zorgt ervoor dat het verkeer van het on-premises netwerk de persoonlijke peeringpaden van ExpressRoute doorkruist in plaats van het openbare internet te gebruiken voor deze VPN-verbinding.

  6. Klik op Maken om de instellingen bij te werken. Nadat de instellingen zijn gemaakt, gebruikt de hub-VPN-gateway de privé-IP-adressen op de VPN-gateway om de IPsec-/IKE-verbindingen met het on-premises VPN-apparaat via ExpressRoute tot stand te brengen.

4. Haal de privé-IP-adressen op voor de VPN-gateway van de hub

Download de configuratie van het VPN-apparaat om de privé-IP-adressen van de VPN-gateway van de hub op te halen. U hebt deze adressen nodig om het on-premises VPN-apparaat te configureren.

  1. Selecteer vpn (site-naar-site) onder Connectiviteit op de pagina voor uw hub.

  2. Selecteer bovenaan de pagina Overzicht de optie VPN-configuratie downloaden.

    Azure maakt een opslagaccount in de resourcegroep 'microsoft-network-[location]', waarbij locatie de locatie van het WAN is. Nadat u de configuratie op uw VPN-apparaten hebt toegepast, kunt u dit opslagaccount verwijderen.

  3. Nadat het bestand is gemaakt, selecteert u de koppeling om het te downloaden.

  4. Pas de configuratie toe op uw VPN-apparaat.

Configuratiebestand voor VPN-apparaten

Het configuratiebestand van het apparaat bevat de instellingen die u moet gebruiken wanneer u uw on-premises VPN-apparaat configureert. Wanneer u dit bestand bekijkt, ziet u de volgende informatie:

  • vpnSiteConfiguration: in deze sectie worden de apparaatdetails aangegeven die zijn ingesteld als een site die verbinding maakt met het virtuele WAN. Het bevat de naam en het openbare IP-adres van het vertakkingsapparaat.

  • vpnSiteConnections: deze sectie bevat informatie over de volgende instellingen:

    • Adresruimte van het virtuele netwerk van de virtuele hub.
      Voorbeeld: "AddressSpace":"10.51.230.0/24"
    • Adresruimte van de virtuele netwerken die zijn verbonden met de hub.
      Voorbeeld: "ConnectedSubnets":["10.51.231.0/24"]
    • IP-adressen van de VPN-gateway van de virtuele hub. Omdat elke verbinding van de VPN-gateway bestaat uit twee tunnels in de configuratie actief-actief, worden beide IP-adressen in dit bestand vermeld. In dit voorbeeld ziet Instance0 u en Instance1 voor elke site. Het zijn privé-IP-adressen in plaats van openbare IP-adressen.
      Voorbeeld: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Configuratiedetails voor de VPN-gatewayverbinding, zoals BGP en vooraf gedeelde sleutel. De vooraf gedeelde sleutel wordt automatisch voor u gegenereerd. U kunt de verbinding altijd bewerken op de pagina Overzicht voor een aangepaste vooraf gedeelde sleutel.

Voorbeeld van een apparaatconfiguratiebestand

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

Uw VPN-apparaat configureren

Als u instructies nodig hebt voor het configureren van uw apparaat, kunt u de instructies op de pagina met configuratiescripts voor VPN-apparaten gebruiken. Houd in dat geval wel rekening met de volgende dingen:

  • De instructies op de pagina VPN-apparaat zijn niet geschreven voor een virtueel WAN. Maar u kunt de virtual WAN-waarden uit het configuratiebestand gebruiken om uw VPN-apparaat handmatig te configureren.
  • De downloadbare apparaatconfiguratiescripts die voor de VPN-gateway zijn, werken niet voor het virtuele WAN, omdat de configuratie anders is.
  • Een nieuw virtueel WAN kan zowel IKEv1 als IKEv2 ondersteunen.
  • Een virtueel WAN kan alleen op route gebaseerde VPN-apparaten en apparaatinstructies gebruiken.

5. Uw virtuele WAN weergeven

  1. Ga naar het virtuele WAN.
  2. Op de pagina Overzicht vertegenwoordigt elk punt op de kaart een hub.
  3. In de sectie Hubs en verbindingen kunt u de status van de hub, site, regio en VPN-verbinding weergeven. U kunt ook bytes in- en uitvullen.

6. Een verbinding bewaken

Maak een verbinding om de communicatie tussen een virtuele Azure-machine (VM) en een externe site te bewaken. Zie voor meer informatie over het instellen van een verbindingscontrole de pagina Netwerkcommunicatie bewaken. Het bronveld is het IP-adres van de VM in Azure en het doel-IP-adres is het IP-adres van de site.

7. Resources opschonen

Wanneer u deze resources niet meer nodig hebt, kunt u Remove-AzResourceGroup gebruiken om de resourcegroep en alle resources die deze bevat te verwijderen. Voer de volgende PowerShell-opdracht uit en vervang door myResourceGroup de naam van uw resourcegroep:

Remove-AzResourceGroup -Name myResourceGroup -Force

Volgende stappen

Dit artikel helpt u bij het maken van een VPN-verbinding via persoonlijke ExpressRoute-peering met behulp van Virtual WAN. Zie het overzicht van Virtual WAN voor meer informatie over Virtual WAN en gerelateerde functies.