Bagikan melalui

Membuat koneksi Situs-ke-Situs menggunakan portal Microsoft Azure (klasik)

  • Artikel

Artikel ini menunjukkan cara menggunakan portal Microsoft Azure untuk membuat koneksi gateway VPN Situs-ke-Situs dari jaringan lokal Anda ke VNet. Langkah-langkah dalam artikel ini berlaku untuk model penyebaran klasik (warisan) dan tidak berlaku untuk model penyebaran saat ini, Resource Manager. Lihat versi Resource Manager dari artikel ini sebagai gantinya.

Penting

Anda tidak dapat lagi membuat gateway jaringan virtual baru untuk jaringan virtual model penyebaran klasik (manajemen layanan). Gateway jaringan virtual baru hanya dapat dibuat untuk jaringan virtual Resource Manager.

Koneksi gateway VPN Situs ke Situs digunakan untuk menghubungkan jaringan lokal Anda ke jaringan virtual Azure melalui terowongan VPN IPsec/IKE (IKEv1 atau IKEv2). Jenis koneksi ini memerlukan perangkat VPN yang terletak di tempat yang memiliki alamat IP publik yang menghadap luar yang telah ditetapkan untuknya. Untuk informasi selengkapnya tentang VPN gateway, lihat Tentang VPN gateway.

Diagram memperlihatkan koneksi lintas lokasi VPN Gateway Situs-ke-Situs.

Catatan

Artikel ini ditulis untuk model penyebaran klasik (warisan). Kami menyarankan agar Anda menggunakan model penyebaran Azure terbaru sebagai gantinya. Model penyebaran Resource Manager adalah model penyebaran terbaru dan menawarkan lebih banyak opsi dan kompatibilitas fitur daripada model penyebaran klasik. Untuk memahami perbedaan antara kedua model penyebaran ini, lihat Memahami model penyebaran dan status sumber daya Anda.

Jika Anda ingin menggunakan versi lain dari artikel ini, gunakan daftar isi di panel kiri.

Sebelum Anda mulai

Pastikan bahwa Anda telah memenuhi kriteria berikut sebelum memulai konfigurasi:

  • Pastikan bahwa Anda ingin bekerja dalam model penyebaran klasik. Jika Anda ingin bekerja dalam model penyebaran Resource Manager, lihat Membuat koneksi Situs-ke-Situs (Resource Manager). Kami menganjurkan agar Anda menggunakan model penyebaran Resource Manager, karena model klasik adalah warisan.
  • Pastikan Anda memiliki perangkat VPN yang kompatibel dan seseorang yang dapat mengonfigurasinya. Untuk informasi selengkapnya tentang perangkat VPN dan konfigurasi perangkat yang kompatibel, lihat Tentang Perangkat VPN.
  • Pastikan bahwa Anda memiliki alamat IPv4 publik yang menghadap ke eksternal untuk perangkat VPN Anda.
  • Jika Anda tidak terbiasa dengan rentang alamat IP yang terletak di konfigurasi jaringan lokal, Anda perlu berkoordinasi dengan seseorang yang dapat memberikan detail tersebut untuk Anda. Saat Anda membuat konfigurasi ini, Anda harus menentukan prefiks rentang alamat IP yang akan dirutekan Azure ke lokasi lokal Anda. Tidak ada subnet dari jaringan lokal Anda yang bisa tumpang tindih dengan subnet jaringan virtual yang ingin Anda sambungkan.
  • PowerShell diperlukan untuk menentukan kunci bersama dan membuat koneksi VPN gateway. Saat bekerja dengan model penyebaran klasik, Anda tidak dapat menggunakan Azure Cloud Shell. Sebagai gantinya, Anda harus menginstal versi terbaru cmdlet PowerShell Azure Service Management (SM) secara lokal di komputer Anda. Cmdlet ini berbeda dari cmdlet AzureRM atau Az. Untuk menginstal cmdlet SM, lihat Menginstal cmdlet Manajemen Layanan. Untuk informasi selengkapnya tentang Azure PowerShell secara umum, lihat Dokumentasi Microsoft Azure PowerShell.

Nilai konfigurasi sampel untuk latihan ini

Contoh pada artikel ini menggunakan nilai berikut. Anda dapat menggunakan nilai-nilai ini untuk membuat lingkungan pengujian, atau merujuknya agar lebih memahami contoh dalam artikel ini. Biasanya, ketika bekerja dengan nilai alamat IP untuk ruang Alamat, Anda ingin mengoordinasikannya bersama admin jaringan Anda untuk menghindari ruang alamat yang tumpang tindih, yang dapat memengaruhi perutean. Dalam hal ini, gantilah nilai alamat IP dengan milik Anda sendiri jika Anda ingin membuat koneksi kerja.

  • Grup Sumber Daya: TestRG1
  • Nama VNet: TestVNet1
  • Ruang alamat: 10.11.0.0/16
  • Nama subnet: FrontEnd
  • Rentang alamat subnet: 10.11.0.0/24
  • GatewaySubnet: 10.11.255.0/27
  • Wilayah: (US) US Timur
  • Nama situs lokal: Site2
  • Ruang alamat klien: Ruang alamat yang berada pada situs lokal Anda.

Membuat jaringan virtual

Saat Anda membuat jaringan virtual untuk digunakan untuk koneksi S2S, Anda perlu memastikan bahwa ruang alamat yang Anda tentukan tidak tumpang tindih dengan salah satu ruang alamat klien untuk situs lokal yang ingin Anda sambungkan. Jika Anda mempunyai subnet yang tumpang tindih, koneksi Anda tidak akan berfungsi dengan baik.

  • Jika Anda sudah memiliki VNet, pastikan pengaturannya kompatibel dengan desain VPN gateway Anda. Perhatikan subnet apa pun yang mungkin tumpang tindih dengan jaringan lain.

  • Jika Anda belum memiliki jaringan virtual, buatlah satu. Cuplikan layar disediakan sebagai contoh. Pastikan untuk mengganti nilai dengan nilai Anda sendiri.

Untuk membuat jaringan virtual

  1. Dari browser, masuk portal Microsoft Azure dan, jika perlu, masuk dengan akun Azure Anda.
  2. Pilih +Buat sumber daya. Di bidang Cari marketplace, ketik 'Virtual Network'. Temukan Jaringan Virtual dari daftar yang dikembalikan dan pilih untuk membuka halaman Jaringan Virtual.
  3. Pada halaman Jaringan Virtual, di bawah tombol Buat, Anda melihat "Terapkan dengan Manajer Sumber Daya (ubah ke Klasik)". Resource Manager adalah default untuk membuat VNet. Anda tidak ingin membuat Resource Manager VNet. Pilih (ubah ke Klasik) untuk membuat VNet Klasik. Lalu, pilih tab Gambaran Umum dan pilih Buat.
  4. Di halaman Buat jaringan virtual (klasik), pada tab Dasar, konfigurasikan pengaturan VNet dengan nilai contoh.
  5. Pilih Tinjau + buat untuk memvalidasi VNet Anda.
  6. Validasi berjalan. Setelah VNet divalidasi, pilih Buat.

Pengaturan DNS bukan merupakan bagian yang diperlukan dari konfigurasi ini, tetapi DNS diperlukan jika Anda ingin resolusi nama di antara VM Anda. Menentukan nilai tidak membuat server DNS baru. Alamat IP server DNS yang Anda tentukan harus server DNS yang dapat menyelesaikan nama untuk sumber daya yang Anda hubungkan.

Setelah membuat jaringan virtual, Anda dapat menambahkan alamat IP server DNS untuk menangani resolusi nama. Buka pengaturan untuk jaringan virtual Anda, pilih server DNS, dan tambahkan alamat IP server DNS yang ingin Anda gunakan untuk resolusi nama.

  1. Temukan jaringan virtual di portal.
  2. Pada halaman untuk jaringan virtual Anda, di bawah bagian Setelan, pilih server DNS.
  3. Tambahkan server DNS.
  4. Untuk menyimpan pengaturan Anda, pilih Simpan di bagian atas halaman.

Mengonfigurasikan situs dan gateway

Untuk mengonfigurasikan situs

Situs lokal biasanya mengacu ke lokasi lokal Anda. Ini berisi alamat IP perangkat VPN tempat Anda akan membuat koneksi, dan rentang alamat IP yang akan dirutekan melalui gateway VPN ke perangkat VPN.

  1. Di halaman untuk VNet Anda, pada Pengaturan, pilih Koneksi situs-ke-situs.

  2. Pada halaman Koneksi situs-ke-situs, pilihlah + Tambahkan.

  3. Pada halaman Konfigurasi koneksi VPN dan gateway, untuk Tipe koneksi, biarkan Situs-ke-situs terpilih. Untuk latihan ini, Anda harus menggunakan kombinasi nilai contoh dan nilai Anda sendiri.

    • Alamat IP VPN gateway: Ini adalah alamat IP publik perangkat VPN untuk jaringan lokal Anda. Perangkat VPN memerlukan alamat IP publik IPv4. Tentukan alamat IP publik yang valid untuk perangkat VPN yang ingin Anda sambungkan. Alamat IP ini harus dapat dijangkau oleh Azure. Jika Anda tidak mengetahui alamat IP perangkat VPN, Anda selalu dapat memasukkan nilai tempat penampung (selama dalam format alamat IP publik yang valid) lalu mengubahnya nanti.

    • Ruang Alamat Klien: Cantumkan rentang alamat IP yang ingin Anda rutekan ke jaringan lokal lain melalui gateway ini. Anda dapat menambahkan beberapa rentang ruang alamat. Pastikan rentang yang Anda tentukan di sini tidak tumpang tindih dengan rentang jaringan lain yang terhubung dengan jaringan virtual Anda, atau dengan rentang alamat jaringan virtual itu sendiri.

  4. Di bagian bawah halaman, JANGAN pilih Tinjau + buat. Sebagai gantinya, pilih Berikutnya: Gateway>.

Untuk mengonfigurasi gateway jaringan virtual

  1. Di halaman Gateway, pilih nilai berikut ini:

    • Ukuran: Ini adalah SKU gateway yang Anda gunakan untuk membuat gateway jaringan virtual Anda. VPN gateway klasik menggunakan SKU gateway lama (warisan). Untuk informasi selengkapnya tentang SKU gateway warisan, lihat Bekerja dengan SKU gateway jaringan virtual (SKU lama). Anda dapat memilih Standar untuk latihan ini.

    • Subnet gateway: Ukuran subnet gateway yang Anda tentukan tergantung pada konfigurasi VPN gateway yang ingin Anda buat. Meskipun dimungkinkan untuk membuat subnet gateway sekurang /29, kami sarankan Anda menggunakan /27 atau /28. Cara ini membuat subnet lebih besar yang mencakup lebih banyak alamat. Dengan menggunakan subnet gateway yang lebih besar, Anda akan memiliki alamat IP yang cukup untuk mengakomodasi potensi konfigurasi di masa mendatang.

  2. Pilihlah Tinjau + buat di bagian bawah halaman untuk memvalidasi pengaturan Anda. Pilih Buat untuk menyebarkan. Diperlukan waktu hingga 45 menit untuk membuat gateway jaringan virtual, tergantung pada SKU gateway yang Anda pilih.

Mengonfigurasi perangkat VPN Anda

Koneksi Situs-ke-Situs pada jaringan lokal memerlukan perangkat VPN. Dalam langkah ini, Anda mengonfigurasi perangkat VPN Anda. Saat mengonfigurasi perangkat VPN, Anda memerlukan nilai berikut:

  • Kunci bersama. Ini adalah kunci bersama yang sama dengan yang Anda tentukan saat membuat koneksi VPN Situs-ke-Situs. Dalam contoh kami, kami menggunakan kunci bersama dasar. Kami menyarankan Anda membuat kunci yang lebih kompleks untuk digunakan.
  • Alamat IP Publik gateway jaringan virtual Anda. Anda bisa menampilkan alamat IP publik dengan menggunakan portal Microsoft Azure, PowerShell, atau CLI.

Bergantung pada perangkat VPN yang Anda miliki, Anda mungkin dapat mengunduh skrip konfigurasi perangkat VPN. Untuk mengetahui informasi selengkapnya, lihat Mengunduh skrip konfigurasi perangkat VPN.

Tautan berikut ini menyediakan informasi konfigurasi lainnya:

  • Untuk informasi tentang perangkat VPN yang kompatibel, lihat Tentang perangkat VPN.

  • Sebelum Mengonfigurasi perangkat VPN, periksa masalah kompatibilitas perangkat yang diketahui.

  • Untuk tautan ke pengaturan konfigurasi perangkat, lihat Perangkat VPN yang divalidasi. Kami menyediakan tautan konfigurasi perangkat berdasarkan upaya terbaik, tetapi selalu yang terbaik untuk memeriksa dengan produsen perangkat Anda untuk informasi konfigurasi terbaru.

    Daftar menunjukkan versi yang kami uji. Jika versi OS untuk perangkat VPN Anda tidak ada dalam daftar, versi TERSEBUT mungkin masih kompatibel. Tanyakan kepada produsen perangkat Anda.

  • Untuk informasi dasar tentang konfigurasi perangkat VPN, lihat Gambaran umum konfigurasi perangkat VPN mitra.

  • Untuk mengetahui informasi tentang pengeditan sampel konfigurasi perangkat, lihat Pengeditan sampel.

  • Untuk persyaratan kriptografis, lihat Tentang persyaratan kriptografis dan gateway VPN Azure.

  • Untuk informasi tentang parameter yang Anda butuhkan untuk menyelesaikan konfigurasi Anda, lihat Parameter IPsec/IKE Default. Informasi tersebut termasuk versi IKE, grup Diffie-Hellman (DH), metode autentikasi, algoritma enkripsi dan hashing, masa pakai asosiasi keamanan (SA), perfect forward secrecy (PFS), dan Dead Peer Detection (DPD).

  • Untuk langkah-langkah konfigurasi kebijakan IPsec/IKE, lihat Mengonfigurasi kebijakan koneksi IPsec/IKE kustom untuk VPN S2S dan VNet-ke-VNet.

  • Untuk menyambungkan beberapa perangkat VPN berbasis kebijakan, lihat Menyambungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan lokal.

Mengambil nilai

Saat Anda membuat VNet klasik di portal Azure, nama yang Anda lihat bukan nama lengkap yang Anda gunakan untuk PowerShell. Misalnya, VNet yang tampaknya bernama TestVNet1 di portal, mungkin memiliki nama yang lebih panjang dalam file konfigurasi jaringan. Untuk VNet di grup sumber, nama "ClassicRG" mungkin terlihat seperti: Group ClassicRG TestVNet1. Saat Anda membuat koneksi, penting untuk menggunakan nilai yang Anda lihat dalam file konfigurasi jaringan.

Dalam langkah-langkah berikut, Anda akan tersambung ke akun Azure Anda dan mengunduh serta melihat file konfigurasi jaringan untuk mendapatkan nilai yang diperlukan untuk koneksi Anda.

  1. Unduh dan instal versi terbaru Azure Service Management (SM) PowerShell cmdlet. Kebanyakan orang memiliki modul Resource Manager yang diinstal secara lokal, tetapi tidak memiliki modul Manajemen Layanan. Modul Manajemen Layanan adalah legacy dan harus diinstal secara terpisah. Untuk informasi selengkapnya, lihat Instal Manajemen Layanan cmdlet.

  2. Buka konsol PowerShell Anda dengan hak yang ditinggikan dan sambungkan ke akun Anda. Gunakan contoh berikut untuk membantu Anda terhubung. Anda harus menjalankan perintah ini secara lokal menggunakan modul Manajemen Layanan PowerShell. Sambungkan ke akun Anda. Gunakan contoh berikut untuk membantu Anda tersambung:

    Add-AzureAccount

  3. Periksa langganan untuk akun tersebut.

    Get-AzureSubscription

  4. Jika Anda memiliki lebih dari satu langganan, pilih langganan yang ingin Anda gunakan.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"

  5. Buat direktori pada komputer Anda. Misalnya, C:\AzureVNet

  6. Ekspor file konfigurasi jaringan ke direktori. Dalam contoh ini, file konfigurasi jaringan diekspor ke C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

  7. Buka file dengan editor teks dan tampilkan nama-nama untuk VNet dan situs Anda. Nama-nama ini akan menjadi nama yang Anda gunakan ketika Anda membuat koneksi.
    Nama-nama VNet tercantum sebagai Nama VirtualNetworkSite =
    Nama-nama situs tercantum sebagai Nama LocalNetworkSiteRef =

Membuat koneksi

Catatan

Untuk model penyebaran klasik, langkah ini tidak tersedia di portal Microsoft Azure atau melalui Azure Cloud Shell. Anda harus menggunakan Azure PowerShell cmdlet versi Service Management (SM) secara lokal dari desktop Anda.

Pada langkah ini, dengan nilai dari langkah sebelumnya, Anda mengatur kunci bersama dan membuat koneksi. Kunci yang Anda tetapkan harus kunci yang sama yang digunakan dalam konfigurasi perangkat VPN Anda.

  1. Aturlah kunci bersama dan buat koneksi.

    • Ubah nilai -VNetName dan nilai -LocalNetworkSiteName. Saat menentukan nama yang berisi spasi, gunakan tanda kutip tunggal di sekitar nilai.
    • '-SharedKey' adalah nilai yang Anda buat lalu tentukan. Pada contoh, kami menggunakan 'abc123', tetapi Anda dapat (dan sebaiknya) membuat sesuatu yang lebih kompleks. Hal yang penting adalah bahwasanya nilai yang Anda tentukan di sini haruslah nilai yang sama dengan yang Anda tentukan saat mengonfigurasikan perangkat VPN Anda.
    Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
-LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123

  2. Saat koneksi dibuat, hasilnya adalah: Status: Berhasil.

Verifikasi koneksi Anda

Di portal Azure, Anda bisa menampilkan status koneksi untuk VPN Gateway VNet klasik dengan menavigasi ke koneksi. Langkah-langkah berikut menunjukkan satu cara untuk membuka koneksi dan memverifikasi.

  1. Di portal Azure, buka jaringan virtual klasik Anda (VNet).
  2. Di halaman jaringan virtual, pilih jenis koneksi yang ingin dilihat. Misalnya, Koneksi situs ke situs.
  3. Pada halaman Koneksi situs ke situs, di bawah Nama, pilih koneksi situs yang ingin Anda tampilkan.
  4. Pada halaman Properti, tampilkan informasi tentang koneksi.

Jika Anda mengalami masalah saat menyambungkan, lihat bagian Pemecahan masalah daftar isi di panel kiri.

Cara mereset VPN gateway

Mengatur ulang Azure VPN Gateway mungkin berguna jika Anda kehilangan konektivitas VPN lintas lokal di satu atau beberapa terowongan VPN Situs-ke-Situs. Dalam situasi ini, semua perangkat VPN lokal Anda berfungsi dengan benar, tetapi tidak dapat menetapkan terowongan IPsec dengan gateway Azure VPN.

Cmdlet untuk mengatur ulang gateway klasik adalah Reset-AzureVNetGateway. Cmdlet Azure PowerShell untuk Manajemen Layanan harus diinstal secara lokal di desktop Anda. Anda tidak dapat menggunakan Azure Cloud Shell. Sebelum melakukan reset, pastikan Anda memiliki versi terbaru Service Management (SM) PowerShell.

Saat menggunakan perintah ini, pastikan Anda menggunakan nama lengkap jaringan virtual. VNet klasik yang dibuat menggunakan portal memiliki nama panjang yang diperlukan untuk PowerShell. Anda dapat melihat nama panjang dengan menggunakan Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml.

Contoh berikut mereset gateway untuk jaringan virtual bernama "Group TestRG1 TestVNet1" (yang ditunjukkan secara sederhana sebagai "TestVNet1" di portal):

Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'

Hasil:

Error          :
HttpStatusCode : OK
Id             : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status         : Successful
RequestId      : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode     : OK

Cara mengubah ukuran SKU gateway

Untuk mengubah ukuran gateway untuk model penyebaran klasik, Anda harus menggunakan cmdlet PowerShell Manajemen Layanan. Gunakan perintah berikut:

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

Langkah berikutnya

  • Setelah koneksi selesai, Anda dapat menambahkan komputer virtual ke jaringan virtual Anda. Untuk informasi selengkapnya, lihat Mesin Virtual.
  • Untuk informasi tentang Penerowongan Paksa, lihat Tentang Penerowongan Paksa.