ExpressRoute és helyek közötti párhuzamos kapcsolatok konfigurálása a PowerShell használatával

• PowerShell – Resource Manager
• PowerShell – Klasszikus

Ez a cikk segítséget nyújt az ExpressRoute és a helyek közötti VPN-kapcsolatok egyidejű konfigurálásában. Mindkét kapcsolat konfigurálása számos előnnyel jár:

• Telephelyek közötti VPN-t állíthat be biztonsági átjáróként az ExpressRoute számára.
• Másik lehetőségként a helyek közötti VPN-ek használatával is csatlakozhat olyan webhelyekhez, amelyek nem az ExpressRoute-on keresztül csatlakoznak.

Ebben a cikkben ismertetjük mindkét forgatókönyv konfigurálásának lépéseit. Ez a cikk a Resource Manager-alapú üzemi modellre vonatkozik, és a PowerShellt használja. Ezeket a forgatókönyveket az Azure Portalon is konfigurálhatja, bár a dokumentáció még nem érhető el. Először bármelyik átjárót konfigurálhatja. Általában nem tapasztal rendszerleállást, amikor új átjárót vagy átjárókapcsolatot ad hozzá.

Feljegyzés

Ha szeretne helyek közötti VPN-t létrehozni egy ExpressRoute-kapcsolaton keresztül, tekintse meg Microsoft peeringen keresztüli helyek közötti VPN-t.

Korlátok és korlátozások

• Kizárólag az útvonalalapú VPN-átjáró támogatott. Útvonalalapú VPN-átjárót kell használnia. Útvonalalapú VPN-átjárót is használhat a szabályzatalapú forgalomválasztókhoz konfigurált VPN-kapcsolattal, ahogyan azt a Több szabályzatalapú VPN-eszközhöz való csatlakozás című leírás tartalmazza.
• ExpressRoute-VPN átjárók együttélési konfigurációi nincsenek támogatva az alapszintű VPN Gateway termékváltozattal.
• Ha az ExpressRoute és a VPN közötti átviteles útválasztást szeretné használni, az Azure VPN Gateway ASN-jének 65515-ös értékre kell állítania, és az Azure Route Servert kell használnia. Az Azure VPN Gateway támogatja a BGP útválasztási protokollt. Ahhoz, hogy az ExpressRoute és az Azure VPN együttműködjön, meg kell őriznie az Azure VPN-átjáró autonóm rendszerszámát az alapértelmezett értéken( 65515). Ha korábban a 65515-östől eltérő ASN-t választott, és a beállítást 65515-ösre módosította, a beállítás érvénybe lépéséhez alaphelyzetbe kell állítania a VPN-átjárót.
• Az átjáró alhálózatának /27 vagy rövidebb előtagnak (például /26 vagy /25) kell lennie, vagy hibaüzenet jelenik meg az ExpressRoute virtuális hálózati átjáró hozzáadásakor.

Konfigurációs tervek

Helyek közötti VPN konfigurálása tartalékútvonalként az ExpressRoute számára.

A helyek közötti VPN-kapcsolatot az ExpressRoute-kapcsolat biztonsági mentéseként konfigurálhatja. Ez a beállítás csak az Azure privát társviszony-létesítési útvonalhoz társított virtuális hálózatokra vonatkozik. Az Azure Microsoft peeringjén keresztül elérhető szolgáltatásokhoz nincs VPN-alapú tartalék megoldás. Az ExpressRoute-kapcsolatcsoport mindig az elsődleges kapcsolat, és az adatok csak akkor haladnak át a helyek közötti VPN-útvonalon, ha az ExpressRoute-kapcsolatcsoport meghibásodik. Az aszimmetrikus útválasztás elkerülése érdekében úgy konfigurálja a helyi hálózatot, hogy az ExpressRoute-kapcsolatcsoportot részesítse előnyben a helyek közötti VPN-en keresztül úgy, hogy magasabb helyi beállításokat állít be az ExpressRoute-on keresztül fogadott útvonalakhoz.

Feljegyzés

• Ha az ExpressRoute Microsoft-peering engedélyezve van, az Azure VPN-átjáró nyilvános IP-címét megkaphatja az ExpressRoute-kapcsolaton keresztül. A helyek közötti VPN-kapcsolat biztonsági mentésként való beállításához konfigurálja a helyszíni hálózatot úgy, hogy a VPN-kapcsolat az internetre legyen irányítva.
• Bár az ExpressRoute-kapcsolatcsoport elérési útja előnyösebb a helyek közötti VPN-nél, amikor mindkét útvonal azonos, az Azure a leghosszabb előtagegyezést használja a csomag céljába vezető útvonal kiválasztására.

Helyek közötti VPN konfigurálása az ExpressRoute-on keresztül nem csatlakoztatott helyekhez való csatlakozáshoz

Úgy konfigurálhatja a hálózatot, hogy egyes helyek közvetlenül az Azure-hoz csatlakozzanak egy helyek közötti VPN-en keresztül, míg mások az ExpressRoute-on keresztül csatlakoznak.

A használni kívánt lépések kiválasztása

Két különböző eljáráscsoport közül választhat. A kiválasztott konfigurációs eljárás attól függ, hogy rendelkezik-e meglévő virtuális hálózatával, vagy újat kell létrehoznia.

• Nincs virtuális hálózatom, és létre kell hoznom egyet.

  Ha még nem rendelkezik virtuális hálózattal, ez az eljárás végigvezeti egy új virtuális hálózat létrehozásán a Resource Manager üzemi modellel, valamint új ExpressRoute- és helyek közötti VPN-kapcsolatok létrehozásával.

• Már rendelkezem Resource Manager-alapú üzemi modell virtuális hálózatokkal.

  Ha már rendelkezik virtuális hálózattal egy meglévő helyek közötti VPN- vagy ExpressRoute-kapcsolattal, és az átjáró alhálózatának előtagja /28 vagy hosszabb (/29, /30 stb.), törölnie kell a meglévő átjárót. A meglévő virtuális hálózati szakaszok párhuzamos kapcsolatainak konfigurálásának lépései végigvezetik az átjáró törlésén, majd új ExpressRoute- és helyek közötti VPN-kapcsolatok létrehozásán.

  Az átjáró törlése és újra létrehozása leállást okoz a helyszíni kapcsolatok esetében. A virtuális gépek és szolgáltatások azonban csatlakozhatnak az interneten keresztül, miközben konfigurálja az átjárót, ha erre vannak beállítva.

Mielőtt elkezdené

A cikkben szereplő lépések és példák az Azure PowerShell Az-modulokat használják. Az Az-modulok helyi telepítéséhez tekintse meg az Azure PowerShell telepítését. Az új Az modulról az új Azure PowerShell Az modul bemutatása című témakörben olvashat bővebben. A PowerShell-parancsmagok gyakran frissülnek. Ha nem a legújabb verziót futtatja, az utasításokban megadott értékek sikertelenek lehetnek. A PowerShell telepített verzióinak megkereséséhez használja a Get-Module -ListAvailable Az parancsmagot.

Az Azure Cloud Shell használatával a legtöbb PowerShell-parancsmagot és CLI-parancsot futtathatja az Azure PowerShell vagy a CLI helyi telepítése helyett. Az Azure Cloud Shell egy ingyenes interaktív rendszerhéj, amely előre telepítve van a közös Azure-eszközökkel, és a fiókjával való használatra van konfigurálva. A cikkben szereplő kód Azure Cloud Shellen való futtatásához nyisson meg egy Cloud Shell-munkamenetet, másolja a kódot a kódblokk Másolás gombjára, és illessze be a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl+Shift+V billentyűkombinációval, macOS rendszeren pedig a Cmd+Shift+V billentyűkombinációval. A beillesztett szöveg nem lesz automatikusan végrehajtva, a kód futtatásához nyomja le az Enter billentyűt .

Néhány módszer a Cloud Shell indításához:

Lehetőség	Hivatkozás
Kattintson a Try It (Kipróbálás) lehetőségre a kódblokk jobb felső sarkában.
Nyissa meg a Cloud Shellt a böngészőben.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra.

Új virtuális hálózat és egyidejű kapcsolatok

Ez az eljárás végigvezeti egy virtuális hálózat létrehozásán, valamint a helyek közötti VPN- és ExpressRoute-kapcsolatok egyidejű konfigurálásának folyamatán. Az ebben a konfigurációban használt parancsmagok eltérhetnek az Ön által ismert parancsmagoktól, ezért győződjön meg arról, hogy a megadott parancsmagokat használja.

1. Jelentkezzen be, és válassza ki az előfizetését.

   Ha az Azure Cloud Shellt használja, a Kipróbálás gombra kattintva automatikusan bejelentkezik az Azure-fiókjába. Ha helyileg szeretne bejelentkezni, nyissa meg a PowerShell-konzolt emelt szintű jogosultságokkal, és futtassa a parancsmagot a csatlakozáshoz.

   Connect-AzAccount
   

   Ha több előfizetéssel rendelkezik, kérje le az Azure-előfizetések listáját.

   Get-AzSubscription
   

   Válassza ki a használni kívánt előfizetést.

   Select-AzSubscription -SubscriptionName "Name of subscription"
   

2. Változók definiálása és erőforráscsoport létrehozása.

   $location = "Central US"
   $resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
   $VNetASN = 65515
   

3. Hozzon létre egy virtuális hálózatot, beleértve a GatewaySubnet. A virtuális hálózatok létrehozásával kapcsolatos további információkért lásd a virtuális hálózatok létrehozásával foglalkozó témakört. További információ az alhálózatok létrehozásáról: Alhálózat létrehozása.

   Fontos

   A GatewaySubnetnek /27 vagy rövidebb előtagnak kell lennie, például /26 vagy /25.

   Hozzon létre egy új virtuális hálózatot.

   $vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"
   

   Adjon hozzá két App és GatewaySubnet nevű alhálózatot.

   Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
   Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
   

   Mentse a virtuális hálózati konfigurációt.

   $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
   

4. Hozza létre a helyek közötti VPN-átjárót. A VPN-átjáró konfigurációjával kapcsolatos további információkért lásd : Virtuális hálózat konfigurálása helyek közötti kapcsolattal. A GatewaySku a VpnGw1, VpnGw2, VpnGw3, Standard és HighPerformance VPN-átjárók esetében támogatott. Az ExpressRoute-VPN Gateway egyidejű konfigurációi nem támogatottak az alapszintű termékváltozatban. A VpnType paramétert RouteBased értékre kell állítania.

   $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
   $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
   New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
   

   Az Azure VPN Gateway támogatja a BGP útválasztási protokollt. A virtuális hálózat ASN-jének (AS-számának) megadásához adja hozzá a -Asn jelölőt az alábbi parancshoz. Ha nem adja meg a Asn paramétert, az AS-szám alapértelmezés szerint 65515 lesz.

   $azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
   

   Feljegyzés

   Az egyidejű átjárók esetében az alapértelmezett 65515 ASN-t kell használnia. További információkért tekintse meg a korlátokat és a korlátozásokat.

   A VPN-átjáróhoz az Azure által használt BGP peering IP-címet és AS-számot a $azureVpn.BgpSettings.BgpPeeringAddress és a $azureVpn.BgpSettings.Asn futtatásával találhatja meg. További információk: A BGP konfigurálása az Azure-alapú VPN-átjáróhoz.

5. Hozzon létre egy helyi VPN-átjáró entitást. Ez a parancs nem konfigurálja a helyszíni VPN-átjárót. Ehelyett lehetővé teszi a helyi átjáró beállításait, például a nyilvános IP-címet és a helyszíni címteret, hogy az Azure VPN-átjáró csatlakozzon hozzá.

   Ha a helyi VPN-eszköz csak a statikus útválasztást támogatja, konfigurálja a statikus útvonalakat az alábbiak szerint:

   $MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
   $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress "<Public IP>" -AddressPrefix $MyLocalNetworkAddress
   

   Ha a helyi VPN-eszköz támogatja a BGP-t, és engedélyezni szeretné a dinamikus útválasztást, ismernie kell a BGP társviszony-létesítési IP-címét és a helyi VPN-eszköz AS-számát.

   $localVPNPublicIP = "<Public IP>"
   $localBGPPeeringIP = "<Private IP for the BGP session>"
   $localBGPASN = "<ASN>"
   $localAddressPrefix = $localBGPPeeringIP + "/32"
   $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN
   

6. Konfigurálja helyi VPN-eszközét, hogy az új Azure VPN-átjáróhoz csatlakozzon. A VPN-eszköz konfigurálásával kapcsolatos további információkért lásd: VPN-eszköz konfigurálása.

7. Kapcsolja össze az Azure-beli helyek közötti VPN-átjárót a helyi átjáróval.

   $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
   New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey "<yourkey>"
   

8. Ha egy meglévő ExpressRoute-kapcsolatcsoporthoz csatlakozik, hagyja ki a 8. és 9. lépést, és ugorjon a 10. lépésre. ExpressRoute-kapcsolatcsoportok konfigurálása. Az ExpressRoute-kapcsolatcsoportok konfigurálásával kapcsolatos további információkért lásd : ExpressRoute-kapcsolatcsoport létrehozása.

9. Azure-beli privát társviszony konfigurálása az ExpressRoute-kapcsolatcsoporton keresztül. További információért az ExpressRoute-kapcsolatcsoporton keresztüli privát társviszony konfigurálásáról lásd: társviszony konfigurálása.

10. Hozzon létre egy ExpressRoute-átjárót. Az ExpressRoute-átjáró konfigurálásával kapcsolatos további információkért lásd: ExpressRoute-átjáró konfigurálása. A GatewaySKU paraméterben a Standard, HighPerformance vagy UltraPerformance értéket kell megadni.

$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
$gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard

11. Csatlakoztassa az ExpressRoute-átjárót az ExpressRoute-kapcsolatcsoporthoz. A lépés elvégzése után a helyszíni hálózat és az Azure közötti kapcsolat az ExpressRoute-on keresztül jön létre. A csatolási művelettel kapcsolatos további információkért lásd: VNetek csatolása az ExpressRoute-hoz.

$ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute

Meglévő virtuális hálózat átjáróval

Ha a virtuális hálózat csak egy virtuális hálózati átjáróval rendelkezik, és egy másik típusú átjárót kell hozzáadnia, kövesse az alábbi lépéseket:

1. Ellenőrizze az átjáró alhálózatának méretét:

   • Ha az átjáró alhálózata /27 vagy nagyobb, lépjen vissza az előző részhez egy helyek közötti VPN-átjáró vagy egy ExpressRoute-átjáró hozzáadásához.
   • Ha az átjáró alhálózata /28 vagy /29, törölnie kell a meglévő virtuális hálózati átjárót, és növelnie kell az átjáró alhálózatának méretét.

2. Törölje a meglévő átjárót:

   Remove-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>
   

3. Törölje az átjáró alhálózatát:

   $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
   Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
   

4. Adjon hozzá egy nagyobb átjáróalhálózatot:

   • Győződjön meg arról, hogy az új alhálózat /27 vagy nagyobb. Ha nincs elég IP-cím, adjon hozzá több IP-címteret.

   $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
   Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
   $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
   

5. Új átjárók és kapcsolatok létrehozása:

   • Állítsa be a változókat:

   $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
   $gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
   $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
   

   • Hozza létre az átjárót:

   $gw = New-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup> -Location <yourlocation> -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard
   

   • Hozza létre a kapcsolatot:

   $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
   New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute
   

Pont–hely konfiguráció hozzáadása a VPN-átjáróhoz

Ha pont–hely konfigurációt szeretne hozzáadni a VPN-átjáróhoz egy párhuzamos beállításban, kövesse az alábbi lépéseket. A VPN főtanúsítvány feltöltéséhez telepítse a PowerShellt helyileg a számítógépre, vagy az Azure Portal használatával.

1. VPN-ügyfélcímkészlet hozzáadása

   $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $azureVpn -VpnClientAddressPool "10.251.251.0/24"
   

2. A VPN főtanúsítványának feltöltése

   Töltse fel a VPN-főtanúsítványt az Azure-ba a VPN-átjáróhoz. Az alábbi példa feltételezi, hogy a főtanúsítvány azon a helyi gépen van tárolva, amelyen a PowerShell-parancsmagok futnak. A tanúsítványt az Azure Portalon is feltöltheti.

   $p2sCertFullName = "RootErVpnCoexP2S.cer" 
   $p2sCertMatchName = "RootErVpnCoexP2S" 
   $p2sCertToUpload = Get-ChildItem Cert:\CurrentUser\My | Where-Object {$_.Subject -match $p2sCertMatchName} 
   if ($p2sCertToUpload.Count -eq 1) { Write-Host "Certificate found" } else { Write-Host "Certificate not found"; exit } 
   $p2sCertData = [System.Convert]::ToBase64String($p2sCertToUpload.RawData) 
   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $p2sCertFullName -VirtualNetworkGatewayName $azureVpn.Name -ResourceGroupName $resgrp.ResourceGroupName -PublicCertData $p2sCertData
   

A pont-hely VPN-ekkel kapcsolatos további információkért lásd: Pont-hely kapcsolat konfigurálása.

Az ExpressRoute és az Azure VPN közötti átvitel útválasztásának engedélyezése

Az ExpressRoute-hoz csatlakoztatott helyi hálózat és egy helyek közötti VPN-hez csatlakoztatott másik helyi hálózat közötti kapcsolat engedélyezéséhez állítsa be az Azure Route Servert.

Következő lépések

További információ az ExpressRoute-tal kapcsolatban: ExpressRoute – Gyakori kérdések.