Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk bemutatja, hogyan hozhat létre helyek közötti VPN-átjárókapcsolatot a Helyszíni hálózatról egy virtuális hálózatra (VNet) a PowerShell használatával.
A helyek közötti VPN-átjárókapcsolattal csatlakoztathatja a helyszíni hálózatot egy Azure-beli virtuális hálózathoz egy IPsec/IKE (IKEv1 vagy IKEv2) VPN-alagúton keresztül. Az ilyen típusú kapcsolatokhoz egy helyszíni VPN-eszközre van szükség, amelyhez hozzá van rendelve egy kifelé irányuló, nyilvános IP-cím. A cikkben ismertetett lépések egy megosztott kulccsal hoznak létre kapcsolatot a VPN-átjáró és a helyszíni VPN-eszköz között. További információ a VPN-átjárókról: Tudnivalók a VPN-átjáróról.
Mielőtt elkezdené
A konfiguráció megkezdése előtt ellenőrizze, hogy a környezet megfelel-e a következő feltételeknek:
Ellenőrizze, hogy rendelkezik-e működő útvonalalapú VPN-átjáróval. VPN-átjáró létrehozásához lásd: VPN-átjáró létrehozása.
Ha nem ismeri a helyszíni hálózati konfigurációban található IP-címtartományokat, egyeztetnie kell valakivel, aki meg tudja adni önnek ezeket az adatokat. A konfiguráció létrehozásakor meg kell adnia azokat az IP-címtartomány-előtagokat, amelyeket az Azure a helyszíni helyre irányít. A helyszíni hálózat egyik alhálózata sem fedheti át azokat a virtuális hálózati alhálózatokat, amelyekhez csatlakozni szeretne.
VPN-eszközök:
- Győződjön meg arról, hogy kompatibilis VPN-eszközzel rendelkezik, és van valaki, aki konfigurálhatja. A kompatibilis VPN-eszközökről és az eszközkonfigurációról további információt a VPN-eszközökről szóló cikkben talál.
- Állapítsa meg, hogy a VPN-eszköz támogatja-e az aktív-aktív módú átjárókat. Ez a cikk egy aktív-aktív módú VPN-átjárót hoz létre, amely a magas rendelkezésre állású kapcsolatokhoz ajánlott. Az aktív-aktív mód azt határozza meg, hogy mindkét átjáró virtuálisgép-példány aktív. Ehhez a módhoz két nyilvános IP-cím szükséges, egy-egy az átjáró VM példányaihoz. Úgy konfigurálja a VPN-készülékét, hogy csatlakozzon az egyes átjáró VM-példányok IP-címéhez.
Ha a VPN-eszköz nem támogatja ezt a módot, ne engedélyezze ezt a módot az átjáróhoz. További információ: Magas rendelkezésre állású kapcsolatok tervezése a helyek közötti és virtuális hálózatok közötti kapcsolatokhoz , valamint az aktív-aktív módú VPN-átjárókról.
Ha a virtuális hálózati átjáró és a helyi hálózati átjáró különböző előfizetésekben és különböző bérlőkben található, akkor kissé eltérő lépéseket kell végrehajtania. Tekintse át a különböző bérlőkkel és előfizetésekkel rendelkező kapcsolatokat.
Azure PowerShell
Ez a cikk PowerShell-parancsmagokat használ. A parancsmagok futtatásához használhatja az Azure Cloud Shellt. A Cloud Shell egy ingyenes interaktív rendszerhéj, amellyel a cikkben ismertetett lépéseket futtathatja. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta.
A Cloud Shell megnyitásához válassza a Kódblokk jobb felső sarkában található Open CloudShell lehetőséget. A Cloud Shellt egy külön böngészőlapon is megnyithatja.https://shell.azure.com/powershell A Másolás gombra kattintva másolja a kódblokkokat, illessze be őket a Cloud Shellbe, majd az Enter billentyűt választva futtassa őket.
Az Azure PowerShell-parancsmagokat helyileg is telepítheti és futtathatja a számítógépen. A PowerShell-parancsmagok gyakran frissülnek. Ha még nem telepítette a legújabb verziót, az utasításokban megadott értékek meghiúsulhatnak. A számítógépre telepített Azure PowerShell-verziók megkereséséhez használja a Get-Module -ListAvailable Az parancsmagot. A telepítésről vagy frissítésről az Azure PowerShell-modul telepítése című témakörben olvashat.
Helyi hálózati átjáró létrehozása
A helyi hálózati átjáró (LNG) általában a helyszíni helyre vonatkozik. Ez nem ugyanaz, mint egy virtuális hálózati átjáró. Adjon egy nevet a webhelynek, amellyel az Azure hivatkozhat rá, majd megadhatja annak a helyszíni VPN-eszköznek az IP-címét, amelyhez kapcsolatot fog létrehozni. Meg kell adnia a VPN-átjárón keresztül a VPN-eszközre irányított IP-címelőtagokat is. Az Ön által megadott címelőtagok a helyszíni hálózat előtagjai. A helyszíni hálózat módosításakor az előtagok egyszerűen frissíthetők.
Válasszon az alábbi példák közül. A példákban használt értékek a következők:
- A GatewayIPAddress a helyszíni VPN-eszköz IP-címe, nem pedig az Azure VPN-átjárója.
- A AddressPrefix a helyi címtér.
Egyszerű egycímes előtag
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'
Több cím előtag példa
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('10.3.0.0/16','10.0.0.0/24')
VPN-eszköz konfigurálása
A helyszíni hálózat helyek közötti kapcsolataihoz VPN-eszközre van szükség. Ebben a lépésben a VPN-eszköz konfigurálása következik. A VPN-eszköz konfigurálásakor a következő elemekre van szüksége:
Megosztott kulcs: Ez a megosztott kulcs ugyanaz, amelyet a helyek közötti VPN-kapcsolat létrehozásakor ad meg. Példáinkban egy egyszerű megosztott kulcsot használunk. Javasoljuk egy ennél összetettebb kulcs létrehozását.
A virtuális hálózati átjáró példányainak nyilvános IP-címei: Szerezze be az egyes virtuális gép példányai IP-címét. Ha az átjáró aktív-aktív módban működik, minden egyes átjáró virtuálisgép-példányhoz egy IP-cím tartozik. Az eszközt feltétlenül konfigurálja két külön IP-címmel, hogy mindegyik egy-egy aktív átjáró virtuális géphez tartozzon. Az aktív készenléti módú átjárók csak egy IP-címmel rendelkeznek. A példában a VNet1GWpip1 a nyilvános IP-címerőforrás neve.
Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
A vpn-eszköztől függően előfordulhat, hogy letölthet egy VPN-eszközkonfigurációs szkriptet. További információ: VPN-eszközkonfigurációs szkriptek letöltése.
Az alábbi hivatkozások további konfigurációs információkat tartalmaznak:
A kompatibilis VPN-eszközökkel kapcsolatos információkért lásd a VPN-eszközökről szóló témakört.
Az eszközkonfigurációs beállításokra mutató hivatkozásokért tekintse meg az érvényesített VPN-eszközöket. Az eszközkonfigurációs hivatkozásokat a lehető legjobban biztosítjuk, de mindig a legjobb, ha az eszköz gyártójához érdeklődik a legújabb konfigurációs információkért.
A listában a tesztelt verziók láthatók. Ha a VPN-eszköz operációsrendszer-verziója nem szerepel a listán, akkor is kompatibilis lehet. Kérdezze meg az eszköz gyártóját.
A VPN-eszközök konfigurálásáról a partner VPN-eszközkonfigurációinak áttekintésében olvashat.
Az eszközkonfigurációs minták szerkesztéséről további információt a Minták szerkesztése című témakörben talál.
A titkosítási követelményekről további információt a titkosítási követelményekről és az Azure VPN-átjárókról szóló cikkben talál.
A konfiguráció elvégzéséhez szükséges paraméterekkel kapcsolatos információkért tekintse meg az alapértelmezett IPsec/IKE-paramétereket. Az információk közé tartozik az IKE-verzió, a Diffie-Hellman (DH) csoport, a hitelesítési módszer, a titkosítási és kivonatolási algoritmusok, a biztonsági társítás (SA) élettartama, a tökéletes előretovábbítási titoktartás (PFS) és a halt társ detektálása (DPD).
Az IPsec-/IKE-házirendkonfiguráció lépéseit az egyéni IPsec/IKE kapcsolati szabályzatok konfigurálása S2S VPN-hez és virtuális hálózatok közötti hálózathoz című témakörben találja.
Ha több szabályzatalapú VPN-eszközt szeretne csatlakoztatni, olvassa el a VPN-átjáró csatlakoztatása több helyszíni szabályzatalapú VPN-eszközhöz című témakört.
VPN-kapcsolat létrehozása
Hozzon létre egy helyek közötti VPN-kapcsolatot a virtuális hálózati átjáró és a helyszíni VPN-eszköz között. Ha aktív-aktív módú átjárót használ (ajánlott), minden átjáró VM-példánynak külön IP-címe van. A rendkívül magas rendelkezésre állású kapcsolatok megfelelő konfigurálásához létre kell hoznia egy alagutat minden egyes virtuálisgéppéldány és a VPN-eszköz között. Mindkét alagút ugyanahhoz a kapcsolathoz tartozik. Ha a helyi hálózati átjáró és a virtuális hálózati átjáró különböző előfizetésekben és különböző bérlőkben található, tekintse meg a különböző bérlőkkel és különböző előfizetésekkel rendelkező kapcsolatok szakaszt .
A megosztott kulcsnak meg kell egyeznie a VPN-eszköze konfigurálásakor használt értékkel. Figyelje meg, hogy a helyek közötti "-ConnectionType" az IPsec.
Állítsa be a változókat.
$gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Hozza létre a kapcsolatot.
New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 ` -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local ` -ConnectionType IPsec -SharedKey 'abc123'
Kapcsolatok különböző bérlőkkel és különböző előfizetésekkel
Ha a virtuális hálózati átjáró és a helyi hálózati átjáró különböző előfizetésekben és különböző bérlőkben található, a kapcsolati parancsokat másként kell megadni, mint az előző szakaszban.
A Tenant 2 bérlő 2. előfizetéséhez tartozó LocalNetworkGateway esetében használja az alábbi parancsokat. Módosítsa a változókat a környezetének megfelelően.
Connect-AzAccount -TenantID $Tenant2
Select-AzSubscription -SubscriptionId $subscription2
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
Az 1. bérlő 1. előfizetésében található VirtualNetworkGateway esetében használja az alábbi parancsokat. Módosítsa a változókat a környezetének megfelelően.
Connect-AzAccount -TenantID $Tenant1
Select-AzSubscription -SubscriptionId $subscription1
$gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local -ConnectionType IPsec -SharedKey 'abc123'
A VPN-kapcsolat ellenőrzése
A VPN-kapcsolat ellenőrzése többféleképpen is történhet.
A kapcsolat sikerességét a Get-AzVirtualNetworkGatewayConnection parancsmaggal ellenőrizheti a "-Debug" paranccsal vagy anélkül.
A következő parancsmag-példával az értékeket a sajátjaival megegyezően konfigurálhatja. Ha a rendszer arra kéri, válassza az „A” lehetőséget, hogy mindet futtassa. A példában a „-Name” a tesztelni kívánt kapcsolat nevére utal.
Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1A parancsmag futtatása után tekintse meg az értékeket. Az alábbi példában a kapcsolati állapot „Csatlakoztatva”, és láthatja a bemenő és kimenő bájtokat.
"connectionStatus": "Connected", "ingressBytesTransferred": 33509044, "egressBytesTransferred": 4142431
Helyi hálózati átjáró IP-címelőtagjainak módosítása
Ha a helyszínre átirányítani kívánt IP-címelőtagok módosulnak, módosíthatja a helyi hálózati átjárót. A példák használatakor módosítsa az értékeket a környezetének megfelelően.
További címelőtagok hozzáadása:
Állítsa be a LocalNetworkGateway változóját.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Módosítsa az előtagokat. A megadott értékek felülírják az előző értékeket.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
Címelőtagok eltávolítása:
Hagyja ki azokat címelőtagokat, amelyekre már nincs szüksége. Ebben a példában már nincs szükségünk a 10.101.2.0/24 előtagra (az előző példából), ezért frissítjük a helyi hálózati átjárót, és kizárjuk az előtagot.
Állítsa be a LocalNetworkGateway változóját.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Állítsa be az átjárót a frissített előtagokkal.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
Helyi hálózati átjáró IP-címének módosítása
Ha módosítja a VPN-eszköz nyilvános IP-címét, módosítania kell a helyi hálózati átjárót a frissített IP-címmel. Az érték módosításával egy időben a címelőtagokat is módosíthatja. A módosításkor mindenképpen használja a helyi hálózati átjáró meglévő nevét. Ha más nevet használ, a meglévő átjáróadatok felülírása helyett egy új helyi hálózati átjárót hoz létre.
New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1
Átjárókapcsolat törlése
Ha nem tudja a kapcsolat nevét, a Get-AzVirtualNetworkGatewayConnection parancsmaggal találja meg.
Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1
Következő lépések
- Miután a kapcsolat létrejött, hozzáadhat virtuális gépeket a virtuális hálózataihoz. További információ: Virtuális gépek.
- A BGP-vel kapcsolatos információkért tekintse meg a BGP áttekintését és a BGP konfigurálását.
- A helyek közötti VPN-kapcsolat Azure Resource Manager-sablonnal történő létrehozásáról további információt a helyek közötti VPN-kapcsolat létrehozása című témakörben talál.
- További információ a virtuális hálózatok közötti VPN-kapcsolat Azure Resource Manager-sablonnal történő létrehozásáról: HBase georeplikálás üzembe helyezése.