Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk áttekintést nyújt a helyszíni VPN-eszközök Azure VPN-átjárókhoz való csatlakozáshoz való konfigurálásáról. A minta Azure-beli virtuális hálózat és a VPN Gateway beállítása azt mutatja be, hogyan csatlakozhat a különböző helyszíni VPN-eszközök konfigurációihoz ugyanazokkal a paraméterekkel.
Eszközkövetelmények
Az Azure VPN-átjárók szabványos IPsec/IKE protokollcsomagokat használnak a helyek közötti (S2S) VPN-alagutakhoz. Az Azure VPN-átjárók IPsec/IKE-paramétereinek és titkosítási algoritmusainak listáját a VPN-eszközökkel kapcsolatos témakörben találja. Megadhatja egy adott kapcsolat pontos algoritmusait és kulcserősségeit is a Kb. titkosítási követelményekben leírtak szerint.
Egyetlen VPN-alagút
A minta első konfigurációja egyetlen S2S VPN-alagútból áll egy Azure VPN-átjáró és egy helyszíni VPN-eszköz között. Igény szerint konfigurálhatja a Border Gateway Protocol (BGP) protokollt a VPN-alagúton keresztül.
Az egyetlen VPN-alagút beállítására vonatkozó részletes utasításokért lásd: Helyek közötti kapcsolat konfigurálása. A következő szakaszok a mintakonfiguráció kapcsolati paramétereit határozzák meg, és egy PowerShell-szkriptet biztosítanak az első lépésekhez.
Kapcsolati paraméterek
Ez a szakasz az előző szakaszokban ismertetett példák paramétereit sorolja fel.
| Paraméter | Érték |
|---|---|
| Virtuális hálózati címelőtagok | 10.11.0.0/16 10.12.0.0/16 |
| Azure VPN-átjáró IP-cím | Azure VPN Gateway IP-címe |
| Helyszíni címelőtagok | 10.51.0.0/16 10.52.0.0/16 |
| Helyszíni VPN-eszköz IP-címe | Helyszíni VPN-eszköz IP-címe |
| * Virtuális hálózat BGP ASN | 65010 |
| * Azure BGP-társ IP-címe | 10.12.255.30 |
| * Helyszíni BGP ASN | 65050 |
| * Helyszíni BGP-társ IP-cím | 10.52.255.254 |
* Nem kötelező paraméter csak BGP-hez.
Minta PowerShell szkript
Ez a szakasz egy példaszkriptet biztosít az első lépésekhez. Részletes útmutatásért lásd: S2S VPN-kapcsolat létrehozása a PowerShell használatával.
# Declare your variables
$Sub1 = "Replace_With_Your_Subscription_Name"
$RG1 = "TestRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15 = "VNet1toSite5"
$LNGName5 = "Site5"
$LNGPrefix50 = "10.52.255.254/32"
$LNGPrefix51 = "10.51.0.0/16"
$LNGPrefix52 = "10.52.0.0/16"
$LNGIP5 = "Your_VPN_Device_IP"
$LNGASN5 = 65050
$BGPPeerIP5 = "10.52.255.254"
# Connect to your subscription and create a new resource group
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
# Create virtual network
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
# Create VPN gateway
$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN
# Create local network gateway
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
# Create the S2S VPN connection
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False
(Nem kötelező) Egyéni IPsec/IKE-szabályzat használata a UsePolicyBasedTrafficSelectors használatával
Ha a VPN-eszközök nem támogatják a forgalomválasztókat( például útvonalalapú vagy VTI-alapú konfigurációkat), hozzon létre egy egyéni IPsec/IKE-szabályzatot a UsePolicyBasedTrafficSelectors beállítással.
Fontos
Létre kell hoznia egy IPsec/IKE-szabályzatot a UsePolicyBasedTrafficSelectors beállítás engedélyezéséhez a kapcsolaton.
A mintaszkript létrehoz egy IPsec/IKE-szabályzatot a következő algoritmusokkal és paraméterekkel:
- IKEv2: AES256, SHA384, DHGroup24
- IPsec: AES256, SHA1, PFS24, SA élettartam 7200 másodperc és 20 480 000 KB (20 GB)
A szkript az IPsec/IKE szabályzatot alkalmazza, és engedélyezi a UsePolicyBasedTrafficSelectors beállítást a kapcsolaton.
$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True
(Nem kötelező) BGP használata S2S VPN-kapcsolaton
Az S2S VPN-kapcsolat létrehozásakor opcionálisan használhatja a BGP-t a VPN-átjáróhoz. Ennek a megközelítésnek két különbsége van:
A helyszíni címelőtagok lehetnek egyetlen gazdagépcímek. A helyszíni BGP társ IP-címe a következőképpen van megadva:
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5A kapcsolat létrehozásakor a -EnableBGP beállítást $True kell beállítania:
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
Következő lépések
Az aktív-aktív VPN-átjárók beállítására vonatkozó részletes útmutatásért tekintse meg az aktív-aktív VPN-átjárók konfigurálását a helyek közötti és a virtuális hálózatok közötti kapcsolatokhoz.