ExpressRoute és helyek közötti párhuzamos kapcsolatok konfigurálása a PowerShell használatával

  • Cikk

Ez a cikk segítséget nyújt az ExpressRoute és a helyek közötti VPN-kapcsolatok egyidejű konfigurálásában. A helyek közötti VPN és az ExpressRoute konfigurálásának számos előnye van. A helyek közötti VPN-t az ExpressRoute biztonságos feladatátvételi útvonalaként konfigurálhatja, vagy helyek közötti VPN-ek használatával csatlakozhat olyan webhelyekhez, amelyek nem az ExpressRoute-on keresztül csatlakoznak. A cikkben mindkét forgatókönyv lépéseit ismertetjük. Ez a cikk a Resource Manager-alapú üzemi modell vonatkozik.

A helyek közötti VPN- és ExpressRoute-kapcsolatok egyidejű konfigurálása számos előnnyel jár:

  • A helyek közötti VPN-eket biztonságos feladatátvételi útvonalként konfigurálhatja az ExpressRoute-hoz.
  • Másik lehetőségként a helyek közötti VPN-ek használatával is csatlakozhat olyan webhelyekhez, amelyek nem az ExpressRoute-on keresztül csatlakoznak.

Ebben a cikkben ismertetjük mindkét forgatókönyv konfigurálásának lépéseit. Ez a cikk a Resource Manager-alapú üzemi modellre vonatkozik, és a PowerShellt használja. Ezeket a forgatókönyveket az Azure Portalon is konfigurálhatja, bár a dokumentáció még nem érhető el. Először bármelyik átjárót konfigurálhatja. Az új átjáró- vagy átjárókapcsolatok hozzáadásakor általában nem tapasztal állásidőt.

Megjegyzés:

Ha helyek közötti VPN-t szeretne létrehozni egy ExpressRoute-kapcsolatcsoporton keresztül, tekintse meg a helyek közötti VPN-t Microsoft-társviszony-létesítésen keresztül.

Korlátok és korlátozások

  • Kizárólag az útvonalalapú VPN-átjáró támogatott. Útvonalalapú VPN-átjárót kell használnia. Útvonalalapú VPN-átjárót is használhat a szabályzatalapú forgalomválasztókhoz konfigurált VPN-kapcsolattal, a Csatlakozás leírtak szerint több szabályzatalapú VPN-eszközre.
  • Az ExpressRoute-VPN Gateway párhuzamos konfigurációi nem támogatottak az alapszintű termékváltozatban.
  • Ha az ExpressRoute és a VPN közötti átviteles útválasztást szeretné használni, az Azure VPN Gateway ASN-jének 65515-ös értékre kell állítania, és az Azure Route Servert kell használnia. Az Azure VPN Gateway támogatja a BGP útválasztási protokollt. Ahhoz, hogy az ExpressRoute és az Azure VPN együttműködjön, meg kell őriznie az Azure VPN-átjáró autonóm rendszerszámát az alapértelmezett értéken( 65515). Ha korábban a 65515-östől eltérő ASN-t választott, és a beállítást 65515-ösre módosította, a beállítás érvénybe lépéséhez alaphelyzetbe kell állítania a VPN-átjárót.
  • Az átjáró alhálózatának /27 vagy rövidebb előtagnak (például /26, /25) kell lennie, vagy hibaüzenet jelenik meg az ExpressRoute virtuális hálózati átjáró hozzáadásakor.
  • A kettős veremű virtuális hálózatokban nem támogatott az együttélés. Ha ExpressRoute IPv6-támogatást és kétveremes ExpressRoute-átjárót használ, a VPN Gatewayrel való párhuzamosság nem lehetséges.

Konfigurációs tervek

Helyek közötti VPN konfigurálása feladatátvételi útvonalként az ExpressRoute-hoz

A helyek közötti VPN-kapcsolatot az ExpressRoute-kapcsolat biztonsági mentéseként konfigurálhatja. Ez a kapcsolat csak az Azure privát társviszony-létesítési útvonalhoz társított virtuális hálózatokra vonatkozik. Az Azure Microsoft társviszony-létesítésen keresztül elérhető szolgáltatásokhoz nincs VPN-alapú feladatátvételi megoldás. Minden esetben az ExpressRoute-kapcsolatcsoport az elsődleges kapcsolat. Az adatok csak akkor haladnak át a helyek közötti VPN-útvonalon, ha az ExpressRoute-kapcsolatcsoport meghibásodik. Az aszimmetrikus útválasztás elkerülése érdekében a helyi hálózati konfigurációnak az ExpressRoute-kapcsolatcsoportot is előnyben kell részesítenie a helyek közötti VPN-kapcsolatcsoporttal szemben. Az ExpressRoute elérési útjának előnyben részesítéséhez beállíthat magasabb helyi prioritást az ExpressRoute által fogadott útvonalakhoz.

Megjegyzés:

  • Ha engedélyezve van az ExpressRoute Microsoft-társviszony-létesítés, az Azure VPN-átjáró nyilvános IP-címét is megkaphatja az ExpressRoute-kapcsolaton. A helyek közötti VPN-kapcsolat biztonsági mentésként való beállításához konfigurálnia kell a helyszíni hálózatot, hogy a VPN-kapcsolat az internetre legyen irányítva.

  • Bár az ExpressRoute-kapcsolatcsoport elérési útja előnyben részesíti a helyek közötti VPN-et, ha mindkét útvonal azonos, az Azure a leghosszabb előtagegyezést használja a csomag célhelyéhez vezető útvonal kiválasztásához.

Diagram that shows a site-to-site VPN connection as a backup for ExpressRoute.

Helyek közötti VPN konfigurálása az ExpressRoute-on keresztül nem csatlakoztatott helyekhez való csatlakozáshoz

Konfigurálhatja a hálózatot, ahol egyes helyek közvetlenül az Azure-hoz csatlakoznak helyek közötti VPN-en keresztül, és egyes helyek az ExpressRoute-on keresztül csatlakoznak.

Coexist

A használni kívánt lépések kiválasztása

Két különböző eljáráscsoport közül választhat. A konfigurálás választott módja attól függ, hogy rendelkezik-e meglévő virtuális hálózattal, amelyhez csatlakozni szeretne, vagy egy új virtuális hálózatot szeretne létrehozni.

  • Nem rendelkezem VNettel, és létre kell hoznom egyet.

    Ha még nem rendelkezik virtuális hálózattal, ez az eljárás végigvezeti egy új virtuális hálózat Resource Manager-alapú üzemi modellel történő létrehozásán, valamint új ExpressRoute- és helyek közötti VPN-kapcsolatok létrehozásán.

  • Már rendelkezem egy Resource Manager-alapú üzemi modell szerinti VNettel.

    Előfordulhat, hogy már rendelkezik virtuális hálózattal egy meglévő helyek közötti VPN-kapcsolattal vagy ExpressRoute-kapcsolattal. Ebben az esetben, ha az átjáró alhálózatának előtagja /28 vagy hosszabb (/29, /30 stb.), akkor törölnie kell a meglévő átjárót. A már meglévő virtuális hálózatokhoz tartozó párhuzamos kapcsolatok konfigurálásának lépései végigvezetik az átjáró törlésén, majd új ExpressRoute- és helyek közötti VPN-kapcsolatok létrehozásán.

    Ha törli és újra létrehozza az átjárót, állásidőt tapasztal a helyek közötti kapcsolatokhoz. A virtuális gépek és szolgáltatások azonban csatlakozhatnak az interneten keresztül, miközben ön konfigurálja az átjárót, ha ezek erre vannak konfigurálva.

Előkészületek

A cikkben szereplő lépések és példák az Azure PowerShell Az-modulokat használják. Az Az-modulok helyi telepítéséhez tekintse meg az Azure PowerShell telepítését. Az új Az modulról az új Azure PowerShell Az modul bemutatása című témakörben olvashat bővebben. A PowerShell-parancsmagok gyakran frissülnek. Ha nem a legújabb verziót futtatja, az utasításokban megadott értékek sikertelenek lehetnek. A PowerShell telepített verzióinak megkereséséhez használja a Get-Module -ListAvailable Az parancsmagot.

Az Azure Cloud Shell használatával a legtöbb PowerShell-parancsmagot és CLI-parancsot futtathatja az Azure PowerShell vagy a CLI helyi telepítése helyett. Az Azure Cloud Shell egy ingyenes interaktív rendszerhéj, amely előre telepítve van a közös Azure-eszközökkel, és a fiókjával való használatra van konfigurálva. A cikkben szereplő kód Azure Cloud Shellen való futtatásához nyisson meg egy Cloud Shell-munkamenetet, másolja a kódot a kódblokk Másolás gombjára, és illessze be a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl+Shift+V billentyűkombinációval, macOS rendszeren pedig a Cmd+Shift+V billentyűkombinációval. A beillesztett szöveg nem lesz automatikusan végrehajtva, a kód futtatásához nyomja le az Enter billentyűt .

Néhány módszer a Cloud Shell indításához:

Lehetőség Hivatkozás
Kattintson a Try It (Kipróbálás) lehetőségre a kódblokk jobb felső sarkában. Cloud Shell in this article
Nyissa meg a Cloud Shellt a böngészőben. https://shell.azure.com/powershell
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. Cloud Shell in the portal

Ez az eljárás végigvezeti az egyidejű virtuális hálózatok, helyek közötti és ExpressRoute-kapcsolatok létrehozásán. Az ehhez a konfigurációhoz használt parancsmagok eltérőek lehetnek az Ön által már ismertektől. Ügyeljen arra, hogy az ebben az útmutatóban meghatározott parancsmagokat használja.

  1. Jelentkezzen be, és válassza ki az előfizetését.

    Ha az Azure Cloud Shellt használja, a Kipróbálás gombra kattintva automatikusan bejelentkezik az Azure-fiókjába. Ha helyileg szeretne bejelentkezni, nyissa meg a PowerShell-konzolt emelt szintű jogosultságokkal, és futtassa a parancsmagot a csatlakozáshoz.

    Connect-AzAccount

    Ha több előfizetéssel rendelkezik, kérje le az Azure-előfizetések listáját.

    Get-AzSubscription

    Válassza ki a használni kívánt előfizetést.

    Select-AzSubscription -SubscriptionName "Name of subscription"

  2. Változók definiálása és erőforráscsoport létrehozása.

    $location = "Central US"
$resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
$VNetASN = 65515

  3. Hozzon létre egy virtuális hálózatot, beleértve a GatewaySubnet. A virtuális hálózatok létrehozásával kapcsolatos további információkért lásd a virtuális hálózatok létrehozásával foglalkozó témakört. Az alhálózatok létrehozásával kapcsolatos további információkért lásd az alhálózatok létrehozásával foglalkozó témakört.

    Fontos

    A GatewaySubnetnek /27 vagy rövidebb előtagnak kell lennie, például /26 vagy /25.

    Hozzon létre egy új virtuális hálózatot.

    $vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"

    Adjon hozzá két App és GatewaySubnet nevű alhálózatot.

    Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"

    Mentse a virtuális hálózati konfigurációt.

    $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

  4. Ezután hozza létre a helyek közötti VPN-átjárót. A VPN-átjáró konfigurációjával kapcsolatos további információkért lásd : Virtuális hálózat konfigurálása helyek közötti kapcsolattal. A GatewaySku csak VpnGw1, VpnGw2, VpnGw3, Standard és Nagy teljesítményű VPN-átjárók esetén támogatott. Az ExpressRoute-VPN Gateway egyidejű konfigurációi nem támogatottak az alapszintű termékváltozatban. A VpnType paramétert RouteBased értékre kell állítania.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"

    Az Azure VPN Gateway támogatja a BGP-útválasztási protokollt. A virtuális hálózat asn (AS Number) azonosítóját úgy adhatja meg, hogy hozzáadja a -Asn jelölőt a következő parancshoz. Ha nem adja meg a Asn paraméter alapértelmezett értékét a 65515-ös AS számra.

    $azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"

    Megjegyzés:

    Az egyidejű átjárók esetében az alapértelmezett 65515 ASN-t kell használnia. További információkért tekintse meg a korlátokat és a korlátozásokat.

    A BGP társviszony-létesítési IP-címét és az Azure által a VPN-átjáróhoz használt AS-számot a futtatással és $azureVpn.BgpSettings.Asna .$azureVpn.BgpSettings.BgpPeeringAddress További információk: A BGP konfigurálása az Azure-alapú VPN-átjáróhoz.

  5. Hozzon létre egy helyi VPN-átjáró entitást. Ez a parancs nem konfigurálja a helyszíni VPN-átjárót. Ehelyett a helyi átjáró beállításai, például a nyilvános IP-cím és a helyszíni címtér megadására szolgál, hogy az Azure VPN-átjáró kapcsolódhasson hozzá.

    Ha a helyi VPN-eszköz csak a statikus útválasztást támogatja, a következő módon konfigurálhatja a statikus útvonalakat:

    $MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
$localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress *<Public IP>* -AddressPrefix $MyLocalNetworkAddress

    Ha a helyi VPN-eszköz támogatja a BGP-t, és engedélyezni szeretné a dinamikus útválasztást, ismernie kell a BGP társviszony-létesítési IP-címét és a helyi VPN-eszköz AS-számát.

    $localVPNPublicIP = "<Public IP>"
$localBGPPeeringIP = "<Private IP for the BGP session>"
$localBGPASN = "<ASN>"
$localAddressPrefix = $localBGPPeeringIP + "/32"
$localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN

  6. Konfigurálja helyi VPN-eszközét, hogy az új Azure VPN-átjáróhoz csatlakozzon. A VPN-eszköz konfigurálásával kapcsolatos további információkért lásd: VPN-eszköz konfigurálása.

  7. Kapcsolja össze az Azure-beli helyek közötti VPN-átjárót a helyi átjáróval.

    $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey <yourkey>

  8. Ha egy meglévő ExpressRoute-kapcsolatcsoporthoz csatlakozik, hagyja ki a 8. és a 9. lépést, és ugorjon a 10. lépésre. ExpressRoute-kapcsolatcsoportok konfigurálása. ExpressRoute-kapcsolatcsoportok konfigurálásával kapcsolatos további információkért lásd: ExpressRoute-kapcsolatcsoport létrehozása.

  9. Azure-beli privát társviszony konfigurálása az ExpressRoute-kapcsolatcsoporton keresztül. Azure-beli privát társviszony ExpressRoute-kapcsolatcsoporton keresztüli konfigurálásáról további információért lásd: társviszony létesítésének konfigurálása

  10. Hozzon létre egy ExpressRoute-átjárót. Az ExpressRoute-átjáró konfigurálásával kapcsolatos további információkért lásd: ExpressRoute-átjáró konfigurálása. A GatewaySKU paraméterben a Standard, HighPerformance vagy UltraPerformance értéket kell megadni.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
$gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard

  11. Csatlakoztassa az ExpressRoute-átjárót az ExpressRoute-kapcsolatcsoporthoz. A lépés végrehajtásával létrejön a kapcsolat a helyszíni hálózat és az Azure között az ExpressRoute-on keresztül. A csatolási művelettel kapcsolatos további információkért lásd: VNetek csatolása az ExpressRoute-hoz.

    $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute

Pont-hely konfiguráció hozzáadása a VPN-átjáróhoz

Az alábbi lépéseket követve pont–hely konfigurációt adhat hozzá a VPN-átjáróhoz egy párhuzamos beállításban. A VPN főtanúsítvány feltöltéséhez vagy helyileg kell telepítenie a PowerShellt a számítógépre, vagy az Azure Portalt kell használnia.

  1. Adja hozzá a VPN-ügyfél címterét.

    $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $azureVpn -VpnClientAddressPool "10.251.251.0/24"

  2. Töltse fel a VPN-főtanúsítványt az Azure-ba a VPN-átjáróhoz. Ebben a példában feltételezzük, hogy a főtanúsítvány abban a helyi gépen lesz tárolva, ahol a következő PowerShell-parancsmagok futnak, és helyben futtatja a PowerShellt. A tanúsítványt az Azure Portalon is feltöltheti.

    $p2sCertFullName = "RootErVpnCoexP2S.cer" 
$p2sCertMatchName = "RootErVpnCoexP2S" 
$p2sCertToUpload=get-childitem Cert:\CurrentUser\My | Where-Object {$_.Subject -match $p2sCertMatchName} 
if ($p2sCertToUpload.count -eq 1){write-host "cert found"} else {write-host "cert not found" exit} 
$p2sCertData = [System.Convert]::ToBase64String($p2sCertToUpload.RawData) 
Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $p2sCertFullName -VirtualNetworkGatewayname $azureVpn.Name -ResourceGroupName $resgrp.ResourceGroupName -PublicCertData $p2sCertData

A pont-hely VPN-ekkel kapcsolatos további információkért lásd: Pont-hely kapcsolat konfigurálása.

Az ExpressRoute és az Azure VPN közötti átvitel útválasztásának engedélyezése

Ha engedélyezni szeretné a kapcsolatot az ExpressRoute-hoz csatlakoztatott egyik helyi hálózata és egy másik, helyek közötti VPN-kapcsolathoz csatlakoztatott helyi hálózata között, be kell állítania az Azure Route Servert.

További lépések

További információ az ExpressRoute-tal kapcsolatban: ExpressRoute – Gyakori kérdések.