Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini memberikan gambaran umum tentang mengonfigurasi perangkat VPN lokal untuk menyambungkan ke gateway VPN Azure. Sampel jaringan virtual Azure dan penyiapan gateway VPN digunakan untuk menunjukkan kepada Anda cara menyambungkan ke konfigurasi perangkat VPN lokal yang berbeda dengan menggunakan parameter yang sama.
Persyaratan perangkat
Gateway VPN Azure menggunakan suite protokol IPsec/IKE standar untuk terowongan VPN situs-ke-situs (S2S). Untuk daftar parameter IPsec/IKE dan algoritma kriptografi untuk gateway VPN Azure, lihat Tentang perangkat VPN. Anda juga dapat menentukan algoritma dan kekuatan utama yang tepat untuk koneksi tertentu seperti yang dijelaskan dalam Tentang persyaratan kriptografi.
Terowongan VPN tunggal
Konfigurasi pertama dalam sampel terdiri dari satu terowongan VPN S2S antara gateway Vpn Azure dan perangkat VPN lokal. Anda dapat secara opsional mengonfigurasi Border Gateway Protocol (BGP) di seluruh terowongan VPN.
Untuk instruksi langkah demi langkah untuk menyiapkan satu terowongan VPN, lihat Mengonfigurasi koneksi situs-ke-situs. Bagian berikut menentukan parameter koneksi untuk konfigurasi sampel dan menyediakan skrip PowerShell untuk membantu Anda memulai.
Parameter koneksi
Bagian ini mencantumkan parameter untuk contoh yang dijelaskan di bagian sebelumnya.
Parameter | Nilai |
---|---|
Prefiks alamat jaringan virtual | 10.11.0.0/16 10.12.0.0/16 |
Azure VPN gateway IP | Azure VPN Gateway IP |
Awalan alamat lokal | 10.51.0.0/16 10.52.0.0/16 |
IP perangkat VPN lokal | IP perangkat VPN lokal |
* Jaringan virtual BGP ASN | 65010 |
* IP Peer BGP Azure | 10.12.255.30 |
* ASN BGP lokal | 65050 |
* IP peer BGP lokal | 10.52.255.254 |
* Parameter opsional hanya untuk BGP.
Contoh skrip PowerShell
Bagian ini menyediakan contoh skrip untuk memulai. Untuk instruksi mendetail, lihat Membuat koneksi VPN S2S dengan menggunakan PowerShell.
# Declare your variables
$Sub1 = "Replace_With_Your_Subscription_Name"
$RG1 = "TestRG1"
$Location1 = "East US 2"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection15 = "VNet1toSite5"
$LNGName5 = "Site5"
$LNGPrefix50 = "10.52.255.254/32"
$LNGPrefix51 = "10.51.0.0/16"
$LNGPrefix52 = "10.52.0.0/16"
$LNGIP5 = "Your_VPN_Device_IP"
$LNGASN5 = 65050
$BGPPeerIP5 = "10.52.255.254"
# Connect to your subscription and create a new resource group
Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1
# Create virtual network
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
# Create VPN gateway
$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN
# Create local network gateway
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix51,$LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
# Create the S2S VPN connection
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False
(Opsional) Menggunakan kebijakan IPsec/IKE kustom dengan UsePolicyBasedTrafficSelectors
Jika perangkat VPN Anda tidak mendukung pemilih lalu lintas apa pun, seperti konfigurasi berbasis rute atau berbasis VTI, buat kebijakan IPsec/IKE kustom dengan opsi UsePolicyBasedTrafficSelectors .
Penting
Anda harus membuat kebijakan IPsec/IKE untuk mengaktifkan opsi UsePolicyBasedTrafficSelectors pada koneksi.
Skrip sampel membuat kebijakan IPsec/IKE dengan algoritma dan parameter berikut:
- IKEv2: AES256, SHA384, DHGroup24
- IPsec: AES256, SHA1, PFS24, masa aktif SA 7.200 detik, dan 20.480.000 KB (20 GB)
Skrip menerapkan kebijakan IPsec/IKE dan mengaktifkan opsi UsePolicyBasedTrafficSelectors pada koneksi.
$ipsecpolicy5 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA1 -PfsGroup PFS24 -SALifeTimeSeconds 7200 -SADataSizeKilobytes 20480000
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$lng5gw = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $False -IpsecPolicies $ipsecpolicy5 -UsePolicyBasedTrafficSelectors $True
(Opsional) Menggunakan BGP pada koneksi VPN S2S
Saat membuat koneksi VPN S2S, Anda dapat secara opsional menggunakan BGP untuk gateway VPN. Pendekatan ini memiliki dua perbedaan:
Awalan alamat lokal dapat berupa satu alamat host. Alamat IP serekan BGP lokal ditentukan sebagai berikut:
New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5
Saat membuat koneksi, Anda harus mengatur opsi -EnableBGP ke $True:
New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True
Langkah berikutnya
Untuk instruksi langkah demi langkah untuk menyiapkan gateway VPN aktif-aktif, lihat Mengonfigurasi gateway VPN aktif-aktif untuk koneksi lintas lokasi dan VNet-ke-VNet.