Comment configurer une connexion Site-to-Site VPN avec routage dynamique entre AWS et Microsoft Azure ?

Lecture de 7 minute(s)

Je souhaite configurer la connectivité AWS Site-to-Site VPN entre AWS et Microsoft Azure à l'aide du protocole BGP (Border Gateway Protocol).

Résolution

Remarque: Pour plus d'informations sur l'optimisation des performances, consultez AWS Site-to-Site VPN, qui vous explique comment choisir les bonnes options pour optimiser les performances.

Prérequis

Avant de configurer votre connexion, vérifiez les points suivants :

Assurez-vous qu'un CIDR Amazon Virtual Private Cloud (Amazon VPC) est associé à une passerelle privée virtuelle ou connecté à une passerelle de transit.
Assurez-vous que le CIDR Amazon VPC ne chevauche pas le CIDR du réseau Microsoft Azure.

Configuration AWS

1. Créez une passerelle client (CGW).

Vérifiez le numéro de système autonome (ASN). Vous pouvez ajouter la vôtre ou utiliser l'option par défaut (65000). Si vous choisissez la valeur par défaut, AWS fournit un ASN pour votre passerelle client.
Pour l'adresse IP de la passerelle client, entrez l'adresse IP publique Microsoft Azure. Cette adresse vous est fournie lorsque vous configurez la passerelle réseau virtuelle dans le portail Microsoft Azure. Reportez-vous à l'étape 2 de la section Configuration de Microsoft Azure dans cet article pour plus d'informations.
Créez un VPN de site à site AWS.
Choisissez une adresse dans la plage d'adresses APIPA réservées de Microsoft Azure pour votre Site-to-Site VPN. Cela est nécessaire parce que vous configurez un VPN de site à site BGP pour Microsoft Azure et parce que les appareils AWS Site-to-Site VPN utilisent des adresses APIPA pour BGP. Cette plage est comprise entre ** 169.254.21.0 et 169.254.22.255 pour les tunnels ** à l'intérieur de l'adresse CIDR IPv4. Consultez l’exemple suivant :

Exemple d'adresse : 169.254.21.0/30

Adresse IP BGP (AWS) : 169.254.21.1

Adresse IP homologue BGP (Microsoft Azure) : 169.254.21.2

Pour laPasserelle, choisissez la passerelle privée virtuelle ou la passerelle de transit, puis pour les options de routage, choisissez Dynamic.
Choisissez votre identifiant VPN, puis pour Vendor choisissez Generic.
Téléchargez le fichier de configuration AWS.

Si vous établissez une connexion Site-to-Site VPN à une passerelle de transit, assurez-vous que vous disposez des bonnes pièces jointes à la passerelle de transit. Procédez ainsi à la fois pour Amazon VPC et pour votre Site-to-Site VPN. Activez également la propagation des itinéraires. Dans un premier temps, seules les routes Amazon VPC sont propagées. Le CIDR du réseau virtuel Microsoft Azure n'est pas propagé dans les tables de routage de la passerelle de transit tant que le BGP n'est pas établi.

Configuration de Microsoft Azure

Suivez les instructions du site Web de Microsoft pour créer un réseau virtuel dans Microsoft Azure.
Suivez les instructions du site Web de Microsoft pour créer une passerelle réseau virtuelle à laquelle une adresse IP publique lui est attribuée. Utilisez les informations suivantes :

**Région :**Choisissez la région dans laquelle vous souhaitez déployer la passerelle réseau virtuelle.

**Type de passerelle :**VPN

**Type de VPN :**Basé sur l'itinéraire

**SKU :**Choisissez le SKU qui répond à vos exigences en matière de charges de travail, de débits, de fonctionnalités et de SLA.

Réseau virtuel : Un réseau virtuel est associé à votre passerelle réseau virtuelle (similaire à un VPC dans l'environnement AWS).

Activer le mode actif-actif: Choisissez Désactivé. Cela crée une nouvelle adresse IP publique qui est utilisée comme adresse IP de passerelle client dans AWS Management Console.

Configurez BGP: Choisissez Activé.

Adresse IP BGP Azure APIPA personnalisée: (169.254.21.2).

Remarque: L'ASN que vous spécifiez pour la passerelle réseau virtuelle doit être identique à l'ASN de la passerelle client dans la console de gestion AWS (65000).

Suivez les instructions du site Web de Microsoft pour créer une passerelle réseau locale. Utilisez les informations suivantes :

Adresse IP: Entrez l'adresse IP publique du tunnel 1 que vous avez reçue lors de la création du VPN de site à site AWS. Vous pouvez le trouver dans la section 3 du fichier de configuration que vous avez téléchargé depuis la Console de gestion AWS.

Espace d'adressage: Entrez le bloc d'adresse CIDR Amazon VPC.

Numéro de système autonome (ASN): Entrez AWS ASN.

**Adresse IP du pair BGP :**Entrez l'adresse IP AWS BGP (comme indiqué à l'étape 5 de la configuration AWS).

Suivez les instructions du site Web de Microsoft pour créer une connexion VPN de site à site dans le portail Microsoft Azure avec BGP activé.

**Remarque :**Les algorithmes cryptographiques et le PSK sont les mêmes du côté Microsoft Azure et du côté AWS.

Phase 1 (IKE) :

    Encryption: AES56  
    Authentication: SHA256  
    DH Group: 14

Phase 2 (IPSEC) :

    Encryption: AES256  
    Authentication: SHA256  
    DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
    Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

Configurer le basculement BGP actif/actif avec le VPN de site à site AWS entre AWS et Microsoft Azure

Suivez les instructions du site Web de Microsoft pour créer une passerelle réseau virtuelle. Pour Activer le mode actif-actif, choisissez Activé. Cela fournit deux adresses IP publiques.
Ouvrez la console AWS Site-to-Site VPN. Utilisez les deux adresses IP publiques du portail Microsoft Azure pour la passerelle réseau virtuelle afin de créer deux passerelles client. Utilisez les informations suivantes :

**Adresse IP :**Entrez l'adresse IP Azure du nœud public 1 pour la première passerelle client et l'adresse IP Azur du nœud public 2 pour la seconde passerelle client.

**ASN BGP :**Entrez l'ASN que vous avez configuré côté Microsoft Azure.

**Type de routage :**Choisissez Dynamic.

Dans la console de gestion AWS, créez deux connexions VPN de site à site qui se connectent soit à une passerelle privée virtuelle, soit à une passerelle de transit. Pour le tunnel 1 des deux connexions Site-to-Site VPN, entrez ce qui suit pour l'adresse IP homologue BGP:

Site-to-Site VPN 1: 169.254.21.0/30

Site-to-Site VPN 2: 169.254.22.0/30

La première adresse IP comprise dans l'adresse IP /30 est attribuée à l'adresse IP BGP de AWS Site-to-Site VPN (169.254.21.1 ou 69.254.22.1), et la seconde est attribuée à l'adresse IP BGP Microsoft Azure (169.254.21.2 ou 69.254.22.2).

4. À l'aide du portail Microsoft Azure, créez deux passerelles de réseau local Microsoft Azure. Pour les adresses IP, utilisez les adresses IP publiques Tunnel 1 issues de vos tunnels AWS Site-to-Site VPN. Assurez-vous également que l'ASN correspond à la passerelle privée virtuelle ou à la passerelle de transit.

À l'aide du portail Microsoft Azure, créez deux connexions Site-to-Site VPN Microsoft Azure. Assurez-vous que chaque connexion possède une passerelle réseau virtuelle Microsoft Azure pointant vers les passerelles réseau locales que vous avez créées à l'étape précédente.

Activer le support ECMP de la passerelle Transit

Pour une configuration active/active, dans laquelle deux connexions VPN de site à site se terminent sur des passerelles de transit, un seul tunnel est configuré pour les deux VPN de site à site. Il existe donc deux tunnels VPN de site à site actifs sur quatre possibles. Lorsque le support ECMP est activé sur la passerelle de transit, le trafic peut être équilibré entre les deux connexions VPN de site à site. Si une connexion VPN de site à site passe à l'état INACTIF, le basculement vers la liaison redondante se fait automatiquement via BGP.

Vérifier l'état de la connexion VPN

Une fois votre configuration Site-to-Site VPN établie, vérifiez que l'état du tunnel VPN est sous le statutUP. Pour ce faire, choisissez l'onglet Détails du tunnel sur la console Site-to-Site VPN.
Sur le portail Microsoft Azure, vérifiez la connexion VPN. Vérifiez que le statut est Réussi, puis passe à **Connecté ** lorsque vous avez établi une connexion réussie.
Créez une instance Amazon Elastic Compute Cloud (Amazon EC2) dans votre Amazon VPC pour vérifier la connectivité entre AWS et Microsoft Azure. Suivez ensuite les instructions du site Web de Microsoft pour vous connecter à l'adresse IP privée de Microsoft Azure VPN et confirmer que la connexion Site-to-Site VPN est établie.

Pour plus d'informations, consultez Tester la connexion Site-to-Site VPN et Comment est-ce que

je vérifie l'état actuel de mon tunnel VPN ?

Sujets

Réseaux et diffusion de contenu

Balises

AWS Virtual Private Network (VPN)

Langue

Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

mon serveur arrête subitement de marcher sans que je ne fasse rien, plus possible d'utiliser SSH et l accès http web
ciao
demandé il y a 2 mois
Quels services AWS sont nécessaires pour remplacer une base de données MySQL classique ?
rePost-User-8854683
demandé il y a un an
Problème d'ajout d'IP V4 Publique secondaire sur une instance
Stephan
demandé il y a 4 mois
Compte bloque je n'arrive plus a acceder au compt
Shekina Banza
demandé il y a un mois
Échec création de base de données Neptune sur AWS
jjso
demandé il y a 8 mois
Comment puis-je configurer un Site-to-Site VPN basé sur le routage dynamique entre AWS et Google Cloud Platform ?
AWS OFFICIELA mis à jour il y a 9 mois
Comment configurer un VPN statique géré et basé sur le routage entre AWS et IBM Cloud ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment créer un VPN basé sur le routage dynamique à l’aide d’un pare-feu Palo-Alto et d’un VPN AWS ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je configurer un AWS Site-To-Site VPN basé sur le routage dynamique avec un routeur MikroTik ?
AWS OFFICIELA mis à jour il y a un an