Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini memperlihatkan kepada Anda cara menggunakan PowerShell untuk membuat koneksi gateway VPN situs-ke-situs dari jaringan lokal Anda ke jaringan virtual (VNet).
Koneksi gateway VPN situs-ke-situs digunakan untuk menyambungkan jaringan lokal Anda ke jaringan virtual Azure melalui terowongan VPN IPsec/IKE (IKEv1 atau IKEv2). Jenis koneksi ini memerlukan perangkat VPN yang terletak di tempat yang memiliki alamat IP publik yang menghadap luar yang telah ditetapkan untuknya. Langkah-langkah dalam artikel ini membuat koneksi antara gateway VPN dan perangkat VPN lokal menggunakan kunci bersama. Untuk informasi selengkapnya tentang VPN gateway, lihat Tentang VPN gateway.
Sebelum Anda mulai
Verifikasi bahwa lingkungan Anda memenuhi kriteria berikut sebelum memulai konfigurasi:
Verifikasi bahwa Anda memiliki gateway VPN berbasis rute yang berfungsi. Untuk membuat gateway VPN, lihat Membuat gateway VPN.
Jika Anda tidak terbiasa dengan rentang alamat IP yang terletak di konfigurasi jaringan lokal, Anda perlu berkoordinasi dengan seseorang yang dapat memberikan detail tersebut untuk Anda. Saat membuat konfigurasi ini, Anda harus menentukan awalan rentang alamat IP yang dirutekan Azure ke lokasi lokal Anda. Tidak ada subnet jaringan lokal Anda yang dapat tumpang tindih dengan subnet jaringan virtual yang ingin Anda sambungkan.
Perangkat VPN:
- Pastikan Anda memiliki perangkat VPN yang kompatibel dan seseorang yang dapat mengonfigurasinya. Untuk informasi selengkapnya tentang perangkat VPN dan konfigurasi perangkat yang kompatibel, lihat Tentang perangkat VPN.
- Tentukan apakah perangkat VPN Anda mendukung mode gateway aktif-aktif. Artikel ini membuat gateway VPN mode aktif-aktif, yang dianjurkan untuk konektivitas dengan ketersediaan tinggi. Mode aktif-aktif menentukan bahwa kedua instans VM gateway berfungsi secara simultan. Mode ini memerlukan dua alamat IP publik, satu untuk setiap instans VM gateway. Anda mengonfigurasi perangkat VPN untuk menyambungkan ke alamat IP untuk setiap instans VM gateway.
Jika perangkat VPN Anda tidak mendukung mode ini, jangan aktifkan mode ini untuk gateway Anda. Untuk informasi selengkapnya, lihat Merancang konektivitas yang sangat tersedia untuk koneksi lintas lokasi dan VNet-ke-VNet dan Tentang gateway VPN mode aktif-aktif.
Jika gateway jaringan virtual dan gateway jaringan lokal Anda berada di langganan yang berbeda dan penyewa yang berbeda, Anda harus menggunakan langkah-langkah yang sedikit berbeda. Tinjau Koneksi dengan penyewa yang berbeda dan langganan yang berbeda.
Azure PowerShell
Artikel ini menggunakan cmdlet PowerShell. Untuk menjalankan cmdlet, Anda dapat menggunakan Azure Cloud Shell. Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.
Untuk membuka Cloud Shell, cukup pilih Buka Cloudshell dari sudut kanan atas blok kode. Anda juga dapat membuka Cloud Shell di tab browser terpisah dengan membuka https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan kode ke Cloud Shell, dan pilih tombol Enter untuk menjalankannya.
Anda juga dapat menginstal dan menjalankan cmdlet Azure PowerShell secara lokal di komputer Anda. Cmdlet PowerShell sering diperbarui. Jika Anda belum menginstal versi terbaru, nilai yang ditentukan dalam instruksi mungkin gagal. Untuk menemukan versi Azure PowerShell yang terinstal di komputer Anda, gunakan Get-Module -ListAvailable Az cmdlet. Untuk menginstal atau memperbarui, lihat Menginstal modul Azure PowerShell.
Membuat gateway jaringan lokal
Gateway jaringan lokal (LNG) biasanya mengacu pada lokasi lokal Anda. Ini tidak sama dengan gateway jaringan virtual. Anda memberi nama situs yang dapat dirujuk oleh Azure, lalu tentukan alamat IP perangkat VPN lokal pada koneksi yang akan Anda buat. Anda juga menentukan awalan alamat IP yang dirutekan melalui gateway VPN ke perangkat VPN. Prefiks alamat yang Anda tentukan adalah prefiks yang terletak di jaringan lokal Anda. Jika jaringan lokal Anda berubah, Anda dapat dengan mudah memperbarui prefiksnya.
Pilih salah satu contoh berikut. Nilai yang digunakan dalam contoh adalah:
- GatewayIPAddress adalah alamat IP perangkat VPN lokal Anda, bukan gateway Vpn Azure Anda.
- AddressPrefix adalah ruang alamat lokal Anda.
Contoh awalan alamat tunggal
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'
Contoh awalan beberapa alamat
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('10.3.0.0/16','10.0.0.0/24')
Mengonfigurasi perangkat VPN Anda
Koneksi Situs-ke-Situs pada jaringan lokal memerlukan perangkat VPN. Dalam langkah ini, Anda mengonfigurasi perangkat VPN Anda. Saat mengonfigurasi perangkat VPN Anda, Anda memerlukan item berikut:
Kunci bersama: Kunci bersama ini sama dengan yang Anda tentukan saat membuat koneksi VPN situs-ke-situs Anda. Dalam contoh kami, kami menggunakan kunci bersama sederhana. Kami menyarankan Anda membuat kunci yang lebih kompleks untuk digunakan.
Alamat IP publik dari instans gateway jaringan virtual Anda: Dapatkan alamat IP untuk setiap instans VM. Jika gateway Anda berada dalam mode aktif-aktif, Anda akan memiliki alamat IP untuk setiap instans VM dari gateway. Pastikan untuk mengonfigurasi perangkat Anda dengan kedua alamat IP, satu untuk setiap VM gateway aktif. Gateway mode siaga aktif hanya memiliki satu alamat IP. Dalam contoh, VNet1GWpip1 adalah nama sumber daya alamat IP publik.
Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
Bergantung pada perangkat VPN yang Anda miliki, Anda mungkin dapat mengunduh skrip konfigurasi perangkat VPN. Untuk mengetahui informasi selengkapnya, lihat Mengunduh skrip konfigurasi perangkat VPN.
Tautan berikut ini menyediakan informasi konfigurasi lainnya:
Untuk informasi tentang perangkat VPN yang kompatibel, lihat Tentang perangkat VPN.
Untuk tautan ke pengaturan konfigurasi perangkat, lihat Perangkat VPN yang divalidasi. Kami menyediakan tautan konfigurasi perangkat berdasarkan upaya terbaik, tetapi selalu yang terbaik untuk memeriksa dengan produsen perangkat Anda untuk informasi konfigurasi terbaru.
Daftar menunjukkan versi yang kami uji. Jika versi OS untuk perangkat VPN Anda tidak ada dalam daftar, versi TERSEBUT mungkin masih kompatibel. Tanyakan kepada produsen perangkat Anda.
Untuk informasi dasar tentang konfigurasi perangkat VPN, lihat Gambaran umum konfigurasi perangkat VPN mitra.
Untuk mengetahui informasi tentang pengeditan sampel konfigurasi perangkat, lihat Pengeditan sampel.
Untuk persyaratan kriptografis, lihat Tentang persyaratan kriptografis dan gateway VPN Azure.
Untuk informasi tentang parameter yang Anda butuhkan untuk menyelesaikan konfigurasi Anda, lihat Parameter IPsec/IKE Default. Informasi tersebut termasuk versi IKE, grup Diffie-Hellman (DH), metode autentikasi, algoritma enkripsi dan hashing, masa pakai asosiasi keamanan (SA), perfect forward secrecy (PFS), dan Dead Peer Detection (DPD).
Untuk langkah-langkah konfigurasi kebijakan IPsec/IKE, lihat Mengonfigurasi kebijakan koneksi IPsec/IKE kustom untuk VPN S2S dan VNet-ke-VNet.
Untuk menyambungkan beberapa perangkat VPN berbasis kebijakan, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.
Membuat koneksi VPN
Buat koneksi VPN Situs-ke-Situs antara gateway jaringan virtual Anda dan perangkat VPN lokal Anda. Jika Anda menggunakan mode gateway aktif-aktif (disarankan), setiap instans VM gateway memiliki alamat IP terpisah. Untuk mengonfigurasi konektivitas yang sangat tersedia dengan benar, Anda harus membuat terowongan antara setiap instans VM dan perangkat VPN Anda. Kedua terowongan adalah bagian dari koneksi yang sama. Jika gateway jaringan lokal dan gateway jaringan virtual Anda berada di langganan yang berbeda dan penyewa yang berbeda, lihat bagian Koneksi dengan penyewa dan langganan yang berbeda .
Kunci bersama harus persis seperti nilai yang Anda gunakan untuk konfigurasi perangkat VPN Anda. Perhatikan bahwa '-ConnectionType' untuk situs-ke-situs adalah IPsec.
Aturlah variabel.
$gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Buat koneksi.
New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 ` -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local ` -ConnectionType IPsec -SharedKey 'abc123'
Koneksi dengan penyewa yang berbeda dan langganan yang berbeda
Ketika gateway jaringan virtual dan gateway jaringan lokal berada di langganan yang berbeda dan di penyewa yang berbeda, perintah koneksi perlu ditentukan secara berbeda dari di bagian sebelumnya.
Untuk Gerbang Jaringan Lokal yang berada di Tenant 2, Langganan 2, gunakan perintah berikut. Sesuaikan variabel apa pun agar sesuai dengan lingkungan Anda.
Connect-AzAccount -TenantID $Tenant2
Select-AzSubscription -SubscriptionId $subscription2
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
Untuk VirtualNetworkGateway yang berada di Tenant 1, Langganan 1, gunakan perintah berikut. Sesuaikan variabel apa pun agar sesuai dengan lingkungan Anda.
Connect-AzAccount -TenantID $Tenant1
Select-AzSubscription -SubscriptionId $subscription1
$gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local -ConnectionType IPsec -SharedKey 'abc123'
Memverifikasi koneksi VPN
Ada beberapa cara yang berbeda untuk memverifikasi koneksi VPN Anda.
Anda dapat memverifikasi bahwa koneksi Anda berhasil dengan menggunakan cmdlet 'Get-AzVirtualNetworkGatewayConnection', dengan atau tanpa '-Debug'.
Gunakan contoh cmdlet berikut, yang mengonfigurasi nilai agar sesuai dengan milik Anda. Jika diminta, pilih 'A' untuk menjalankan 'Semua'. Dalam contoh, '-Name' merujuk pada nama koneksi yang ingin Anda uji.
Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1Setelah cmdlet selesai, lihat nilainya. Pada contoh di bawah, status konektivitas ditampilkan sebagai 'Tersambung' dan Anda dapat melihat byte masuk dan keluar.
"connectionStatus": "Connected", "ingressBytesTransferred": 33509044, "egressBytesTransferred": 4142431
Untuk mengubah awalan alamat IP untuk gateway jaringan lokal
Jika prefiks alamat IP yang ingin Anda rutekan ke lokasi lokal Anda berubah, Anda dapat mengubah gateway jaringan lokal. Saat menggunakan contoh ini, ubah nilai yang cocok dengan lingkungan Anda.
Untuk menambahkan lebih banyak prefiks alamat:
Atur variabel untuk LocalNetworkGateway.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Ubah awalannya. Nilai yang Anda tentukan menimpa nilai sebelumnya.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
Untuk menghapus prefiks alamat:
Tinggalkan awalan yang tidak Lagi Anda butuhkan. Dalam contoh ini, kita tidak lagi memerlukan awalan 10.101.2.0/24 (dari contoh sebelumnya), jadi kita memperbarui gateway jaringan lokal dan mengecualikan awalan tersebut.
Atur variabel untuk LocalNetworkGateway.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Atur gateway dengan awalan yang diperbarui.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
Untuk mengubah alamat IP dari gateway jaringan lokal
Jika Anda mengubah alamat IP publik untuk perangkat VPN, Anda perlu memodifikasi gateway jaringan lokal dengan alamat IP yang diperbarui. Saat mengubah nilai ini, Anda juga dapat mengubah awalan alamat secara bersamaan. Saat memodifikasi, pastikan untuk menggunakan nama gateway jaringan lokal Anda yang sudah ada. Jika Anda menggunakan nama berbeda, Anda membuat gateway jaringan lokal baru, alih-alih menimpa informasi gateway sudah ada.
New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1
Untuk menghapus koneksi gateway
Jika Anda tidak mengetahui nama koneksi Anda, Anda dapat menemukannya dengan menggunakan cmdlet 'Get-AzVirtualNetworkGatewayConnection'.
Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1
Langkah berikutnya
- Setelah koneksi selesai, Anda dapat menambahkan komputer virtual ke jaringan virtual Anda. Untuk informasi selengkapnya, lihat Mesin Virtual.
- Untuk informasi tentang BGP, lihat Ringkasan BGP dan Cara mengonfigurasi BGP.
- Untuk informasi tentang membuat koneksi VPN situs-ke-situs menggunakan templat Azure Resource Manager, lihat Membuat Koneksi VPN situs-ke-situs.
- Untuk informasi tentang membuat koneksi VPN vnet-ke-vnet menggunakan templat Azure Resource Manager, lihat Menyebarkan replikasi geo HBase.