Kényszerített bújtatás konfigurálása az alapértelmezett hely használatával helyek közötti kapcsolatokhoz
A cikk lépései segítenek konfigurálni a helyek közötti (S2S) IPsec-kapcsolatok kényszerített bújtatását egy alapértelmezett hely megadásával. A kényszerített bújtatás konfigurációs módszereiről, beleértve a kényszerített bújtatás BGP-en keresztüli konfigurálását is, lásd : A VPN Gateway kényszerített bújtatása.
Alapértelmezés szerint a virtuális gépekről érkező internethez kötött forgalom közvetlenül az internetre kerül. Ha a VPN-átjárón keresztül az összes internethez kötött forgalmat egy helyszíni helyre szeretné kényszeríteni ellenőrzés és naplózás céljából, ezt a kényszerített bújtatás konfigurálásával teheti meg. Miután konfigurálta a kényszerített bújtatást, szükség esetén az internethez kötött forgalmat közvetlenül az internetre irányíthatja a megadott alhálózatokhoz egyéni, felhasználó által megadott útvonalak (UDR-ek) használatával.
Az alábbi lépések segítségével konfigurálhat egy kényszerített bújtatási forgatókönyvet egy alapértelmezett hely megadásával. Ha egyéni UDR-t használ, a forgalmat úgy irányíthatja, hogy megadja, hogy az előtérbeli alhálózat internethez kötött forgalma közvetlenül az internetre, nem pedig a helyszíni helyre irányítja.
- A létrehozott virtuális hálózat három alhálózattal rendelkezik: előtérbeli, középszintű és háttérrendszer négy helyszíni kapcsolattal: DefaultSiteHQ és három ág.
- A VPN-átjáró alapértelmezett helyét a PowerShell használatával adhatja meg, amely az összes internetes forgalmat a helyszíni helyre kényszeríti. Az alapértelmezett hely nem konfigurálható az Azure Portal használatával.
- Az előtérbeli alhálózathoz egy UDR van hozzárendelve, amely közvetlenül az internetre küldi az internetes forgalmat, megkerülve a VPN-átjárót. Az egyéb forgalmat a rendszer normál módon irányítja.
- A középső és a háttérbeli alhálózatok továbbra is a VPN-átjárón keresztül bújtatják vissza az internetes forgalmat a helyszíni helyre, mert egy alapértelmezett hely van megadva.
Virtuális hálózat és alhálózatok létrehozása
Először hozza létre a tesztkörnyezetet. Használhatja az Azure Cloud Shellt, vagy helyileg futtathatja a PowerShellt. További információt az Azure PowerShell telepítésével és konfigurálásával foglalkozó témakörben talál.
Megjegyzés:
A következőhöz hasonló figyelmeztetések jelenhetnek meg: "A parancsmag kimeneti objektumtípusa egy későbbi kiadásban módosul". Ez a várt viselkedés, és nyugodtan figyelmen kívül hagyhatja ezeket a figyelmeztetéseket.
Hozzon létre egy erőforráscsoportot a New-AzResourceGroup használatával.
New-AzResourceGroup -Name "TestRG1" -Location "EastUS"Hozza létre a virtuális hálózatot a New-AzVirtualNetwork használatával.
$vnet = New-AzVirtualNetwork ` -ResourceGroupName "TestRG1" ` -Location "EastUS" ` -Name "VNet1" ` -AddressPrefix 10.1.0.0/16Alhálózatok létrehozása a New-AzVirtualNetworkSubnetConfig használatával. Hozzon létre előtérbeli, középszintű és háttérbeli alhálózatokat, valamint egy átjáróalhálózatot (amelynek GatewaySubnetnek kell lennie).
$subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig ` -Name Frontend ` -AddressPrefix 10.1.0.0/24 ` -VirtualNetwork $vnet $subnetConfigMid-tier = Add-AzVirtualNetworkSubnetConfig ` -Name Mid-tier ` -AddressPrefix 10.1.1.0/24 ` -VirtualNetwork $vnet $subnetConfigBackend = Add-AzVirtualNetworkSubnetConfig ` -Name Backend ` -AddressPrefix 10.1.2.0/24 ` -VirtualNetwork $vnet $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig ` -Name GatewaySubnet ` -AddressPrefix 10.1.200.0/27 ` -VirtualNetwork $vnetÍrja be az alhálózat-konfigurációkat a virtuális hálózatba a Set-AzVirtualNetwork használatával, amely létrehozza az alhálózatokat a virtuális hálózaton:
$vnet | Set-AzVirtualNetwork
Helyi hálózati átjárók létrehozása
Ebben a szakaszban hozza létre a helyek helyi hálózati átjáróit a New-AzLocalNetworkGateway használatával. Minden egyes helyi hálózati átjáró létrehozásakor kis szünet van az egyes parancsok között. Ebben a példában az -GatewayIpAddress értékek helyőrzők. A kapcsolat létrehozásához ezeket az értékeket később le kell cserélnie a megfelelő helyszíni VPN-eszközök nyilvános IP-címére.
$lng1 = New-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.111" -AddressPrefix "192.168.1.0/24"
$lng2 = New-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.112" -AddressPrefix "192.168.2.0/24"
$lng3 = New-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.113" -AddressPrefix "192.168.3.0/24"
$lng4 = New-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "TestRG1" -Location "EastUS" -GatewayIpAddress "111.111.111.114" -AddressPrefix "192.168.4.0/24"
VPN-átjáró létrehozása
Ebben a szakaszban nyilvános IP-címet kér, és létrehoz egy VPN-átjárót, amely a nyilvános IP-cím objektumhoz van társítva. A nyilvános IP-címet akkor használja a rendszer, ha helyszíni vagy külső VPN-eszközt csatlakoztat a VPN-átjáróhoz a helyek közötti kapcsolatokhoz.
Kérjen nyilvános IP-címet a VPN-átjáróhoz a New-AzPublicIpAddress használatával.
$gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku StandardHozza létre az átjáró IP-címkonfigurációját a New-AzVirtualNetworkGatewayIpConfig használatával. Erre a konfigurációra a VPN-átjáró létrehozásakor hivatkozunk.
$vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.IdHozza létre a virtuális hálózati átjárót a "Vpn" átjárótípussal a New-AzVirtualNetworkGateway használatával. Az átjáró létrehozása a kiválasztott átjáró termékváltozatától függően akár 45 percet is igénybe vehet.
Ebben a példában a VpnGw2 2. generációs termékváltozatot használjuk. Ha a GatewaySKU értékével kapcsolatos ValidateSet-hibák láthatók, ellenőrizze, hogy telepítette-e a PowerShell-parancsmagok legújabb verzióját. A legújabb verzió tartalmazza a legújabb átjáró termékváltozatainak új érvényesített értékeit.
New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" -Location "EastUS" -IpConfigurations $gwipconfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"
Kényszerített bújtatás konfigurálása – Alapértelmezett hely
A kényszerített bújtatás konfigurálásához rendeljen hozzá egy alapértelmezett helyet a virtuális hálózati átjáróhoz. Ha nem ad meg alapértelmezett helyet, az internetes forgalom nem lesz kényszerítve a VPN-átjárón keresztül, és ehelyett közvetlenül az internetre lép az összes alhálózat esetében (alapértelmezés szerint).
Az átjáró alapértelmezett helyének hozzárendeléséhez használja a -GatewayDefaultSite paramétert. Ügyeljen arra, hogy ezt megfelelően rendelje hozzá.
Először deklarálja azokat a változókat, amelyek megadják a virtuális hálózati átjáró adatait és a helyi hálózati átjárót az alapértelmezett helyhez, ebben az esetben a DefaultSiteHQ-hoz.
$LocalGateway = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" $VirtualGateway = Get-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1"Ezután állítsa be a virtuális hálózati átjáró alapértelmezett helyét a Set-AzVirtualNetworkGatewayDefaultSite használatával.
Set-AzVirtualNetworkGatewayDefaultSite -GatewayDefaultSite $LocalGateway -VirtualNetworkGateway $VirtualGateway
Ezen a ponton az összes internethez kötött forgalom úgy van konfigurálva, hogy kényszerítse a DefaultSiteHQ-ba való bújtatást. A helyszíni VPN-eszközt forgalomválasztóként a 0.0.0.0/0 használatával kell konfigurálni.
- Ha csak a kényszerített bújtatást szeretné konfigurálni, és nem szeretné az internetes forgalmat közvetlenül az internetre irányítani adott alhálózatok esetében, a kapcsolat létrehozásához ugorjon a cikk Csatlakozás ions létrehozása szakaszára.
- Ha azt szeretné, hogy bizonyos alhálózatok közvetlenül az internetre küldjék az internethez kötött forgalmat, folytassa a következő szakaszokkal az egyéni UDR-ek konfigurálásához és az útvonalak hozzárendeléséhez.
Internethez kötött forgalom átirányítása adott alhálózatokhoz
Ha azt szeretné, hogy az internethez kötött forgalom közvetlenül az internetre legyen elküldve adott alhálózatok esetében (a helyszíni hálózat helyett), kövesse az alábbi lépéseket. Ezek a lépések olyan kényszerített bújtatásra vonatkoznak, amely egy alapértelmezett hely megadásával lett konfigurálva, vagy a BGP-vel lett konfigurálva.
Útvonaltáblák és útvonalak létrehozása
Annak megadásához, hogy az internethez kötött forgalom közvetlenül az internetre menjen, hozza létre a szükséges útvonaltáblát és útvonalat. Később hozzárendeli az útvonaltáblát az Előtérbeli alhálózathoz.
Hozza létre az útvonaltáblákat a New-AzRouteTable használatával.
$routeTable1 = New-AzRouteTable ` -Name 'RouteTable1' ` -ResourceGroupName "TestRG1" ` -location "EastUS"Útvonalak létrehozása a következő parancsmagokkal: GetAzRouteTable, Add-AzRouteConfig és Set-AzRouteConfig. Hozza létre az "Internet" következő ugrási típus útvonalát a RouteTable1-ben. Ez az útvonal később lesz hozzárendelve a Frontend alhálózathoz.
Get-AzRouteTable ` -ResourceGroupName "TestRG1" ` -Name "RouteTable1" ` | Add-AzRouteConfig ` -Name "ToInternet" ` -AddressPrefix 0.0.0.0/0 ` -NextHopType "Internet" ` | Set-AzRouteTable
Útvonalak hozzárendelése
Ebben a szakaszban az útvonaltáblát és az útvonalakat a Frontend alhálózathoz rendeli a következő PowerShell-parancsokkal: GetAzRouteTable, Set-AzRouteConfig és Set-AzVirtualNetwork.
Rendelje hozzá az előtérbeli alhálózatot a RouteTable1-hez a "ToInternet" útvonallal, amely a 0.0.0.0/0 értéket adja meg a következő ugrási internettel.
$vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" $routeTable1 = Get-AzRouteTable ` -ResourceGroupName "TestRG1" ` -Name "RouteTable1" Set-AzVirtualNetworkSubnetConfig ` -VirtualNetwork $vnet ` -Name 'Frontend' ` -AddressPrefix 10.1.0.0/24 ` -RouteTable $routeTable1 | ` Set-AzVirtualNetwork
S2S VPN-kapcsolatok létrehozása
A New-AzVirtualNetworkGateway Csatlakozás ion használatával hozza létre az S2S-kapcsolatokat.
Deklarálja a változókat.
$gateway = Get-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" $lng1 = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "TestRG1" $lng2 = Get-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "TestRG1" $lng3 = Get-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "TestRG1" $lng4 = Get-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "TestRG1"Hozza létre a kapcsolatokat.
New-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng1 -ConnectionType IPsec -SharedKey "preSharedKey" New-AzVirtualNetworkGatewayConnection -Name "Connection2" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng2 -ConnectionType IPsec -SharedKey "preSharedKey" New-AzVirtualNetworkGatewayConnection -Name "Connection3" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng3 -ConnectionType IPsec -SharedKey "preSharedKey" New-AzVirtualNetworkGatewayConnection -Name "Connection4" -ResourceGroupName "TestRG1" -Location "EastUS" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng4 -ConnectionType IPsec -SharedKey "preSharedKey"A kapcsolat megtekintéséhez használja az alábbi példát. Módosítsa a szükséges értékeket a megtekinteni kívánt kapcsolat megadásához.
Get-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "TestRG1"
Következő lépések
A VPN Gatewayről további információt a VPN Gateway gyakori kérdéseiben talál.